Xu hướng tấn công mới của mã độc trên mạng

08/09/2013 10:00:00 3237

Tính đến 30/6/2013, Kaspersky Lab đã cập nhật 100.386 biến thể của phần mềm độc hại trên hệ thống di động, đây là một sự gia tăng đáng kể so với cuối năm 2012 (46.445 biến thể). Trong đó nổi bật lên là 2 dạng “móc túi” người dùng: phần mềm tống tiền (ransomware) và mã độc “đào kiếm” bitcoin trên Skype

1 ví dụ về phần mềm tống tiền mạo danh email từ tổ chức uy tín

Ransomware (phần mềm tống tiền) trên Android

Trong tháng 6, “Free Calls Update” là ví dụ đầu tiên của Ransomware trên hệ điều hành Android. Đó là một ứng dụng miễn phí có thể được tải về từ cửa hàng ứng dụng của bên thứ ba. Ransomware là một loại phần mềm được thiết kế để tống tiền nạn nhân bằng cách ngăn chặn truy cập vào thiết bị hoặc máy tính của họ cho đến khi người sử dụng buộc phải trả cước phí. Tuy nhiên, việc thanh toán thường là lừa đảo và thậm chí các nạn nhân trả tiền rồi mà vẫn không được truy cập đến máy. Sau khi “Free Calls Update” được cài đặt vào thiết bị nó sẽ quản lý thiết bị và thay đổi cài đặt thiết lập di động và Wi-Fi. Sau đó, nó sẽ giả vờ quét để tìm phần mềm độc hại và hiển thị một thông báo giả rằng thiết bị của họ bị nhiễm một loại virus.

Tiếp theo, nó sẽ đề nghị các nạn nhân mua bản quyền của một điện thoại di động giả mạo phần mềm chống virus để loại bỏ virus. Thông báo sẽ tiếp tục hiển thị trên điện thoại trong khi tiếp tục chặn truy cập vào các ứng dụng còn lại của điện thoại và làm cho nó vô dụng.

Ransomware và thông báo chống virus giả mạo đã được sắp đặt chung trong phần mềm độc hại và tội phạm mạng đang sử dụng phương pháp này để đánh lừa cả về kỹ thuật và tâm lý trên thị trường thiết bị di động chưa hoàn thiện.

Bitcoins thúc đẩy nền kinh tế ngầm

Xu hướng tấn công của mã độc trên mạng là các phần mềm độc hại tích lũy Bitcoins

Xu hướng mới đáng chú ý nhất của Quý 2 là sự tập trung tăng cường của tội phạm mạng vào các phần mềm độc hại tích lũy Bitcoins. Bitcoins là một loại tiền tệ kỹ thuật số được xây dựng trên cơ sở mạng ngang hàng (P2P) và được thiết kế cho các giao dịch tài chính vô danh và phân cấp. Giao dịch được tiến hành trên các máy chủ và Bitcoin được xem là thợ mỏ được sử dụng vào việc trao đổi tiền. Cơ sở thực hiện là trên một mạng lưới các máy tính kết nối với nhau. Tiền ảo sau này có thể được chuyển đổi sang tiền tệ sử dụng để thanh toán hàng hóa và dịch vụ trong các cửa hàng trực tuyến (Bitcoins như một loại tiền tệ kỹ thuật số được đại diện bằng cách sử dụng chữ thường "b" trong khi cơ sở hạ tầng Bitcoin sử dụng vốn "B").

Giá trị của Bitcoins đã tăng đáng kể trong năm qua. Trong khi lúc trước một đơn vị là tương đương dưới 1 cent thì hiện nay giá trị đã tăng vọt lên khoảng 130 USD. Trong khi tiền tệ dễ mất giá, nó tiếp tục phát triển ổn định hơn. Thông thường, sử dụng tên nặc danh và làm tăng giá trị của đồng Bitcoin đều là động lực tích cự cho tội phạm nhắm vào mục tiêu này. Ngoài ra, Bitcoins là sự lựa chọn cho tội phạm mạng hoạt động kinh doanh với một số tiền hợp pháp, tên nặc danh, một quy trình giao dịch an toàn và các yêu cầu về thủ tục tài chính hoặc quản lý vắng mặt, làm cho chúng khó để kiểm tra.

Những máy tính bị lây nhiễm Trojan này được phát hiện hầu hết tại Ý, Nga, Ba Lan, Costa Rica, Tây Ban Nha, Đức và một số quốc gia khác.

Vào tháng tư, nhóm nghiên cứu của Kaspersky Lab phát hiện ra một chiến dịch trong đó tội phạm mạng sử dụng Skype để phân phối phần mềm độc hại khai thác Bitcoin. Nó sử dụng kỹ thuật xã hội để nạn nhân bị lây nhiễm vào lúc đầu. Sau đó cài đặt phần mềm độc hại vào máy tính bị xâm nhập và biến máy tính nạn nhân thành tài nguyên CPU để khai thác Bitcoin. Bitcoins khai thác bởi phần mềm độc hại sau đó được gửi tới tài khoản của tội phạm mạng sau vụ lừa đảo.

Sự xuất hiện của Trojan này được các chuyên gia dự đoán là do giá của Bitcoin tăng cao từ 92 USD

Một tháng sau đó, các chuyên gia an ninh của Kaspersky Lab phát hiện một chiến dịch Bitcoin độc hại khác, đó là một cuộc tấn công lừa đảo từ Brazil. Tương tự như cách lạm dụng Skype để lây nhiễm các máy tính, tội phạm mạng dựa trên kỹ thuật xã hội để lây nhiễm sang máy tính của nạn nhân. Tuy nhiên, trong cuộc tấn công này bọn tội phạm sử dụng các email lừa đảo để chuyển hướng người dùng đến một phiên bản giả mạo của một trong những trang web Bitcoin kinh doanh phổ biến nhất là MtGox. MtGox xử lý một số lượng lớn các giao dịch ủy quyền, vì vậy mục tiêu của chiến dịch này là để lừa người dùng bỏ thông tin đăng nhập của họ, sau đó sẽ cho phép tội phạm ăn cắp Bitcoins từ tài khoản người dùng trực tiếp.