Tin tặc sử dụng dịch vụ Google để tự động hoá việc điều khiển nạn nhân

12:12 | 16/02/2017 | HACKER / MALWARE

Mới đây, các chuyên gia bảo mật Forcepoint Security Labs đã phát hiện ra hoạt động của nhóm tin tặc Carbanak qua một số dịch vụ của google.

Carbanak là một trong những nhóm tin tặc nổi tiếng (còn được gọi là Anunak), được biết đến với “thành tích” đánh cắp 1 tỷ USD từ hơn 100 ngân hàng trên 30 quốc gia vào năm 2015. Đây là một trong những tổ chức tội phạm không gian mạng hoạt động có tổ chức, liên tục nâng cao kỹ năng, chiến thuật của mình để thực hiện các hành vi phạm tội, tránh sự phát hiện của các mục tiêu tiềm năng và nhà chức trách.

Hiện Carbanak đã bị phát hiện qua việc sử dụng các dịch vụ khác nhau của Google để lây nhiễm và điều khiển (C&C) các máy của nạn nhân bằng mã độc.

Các nhà nghiên từ Forcepoint Security Labs cho biết, trong khi điều tra một hoạt động khai thác gửi thư lừa đảo như một file RTF đính kèm, họ đã phát hiện ra nhóm Carbanak đã hoạt động ẩn trong trang web bằng cách sử dụng dịch vụ của Google.

Tin tặc sử dụng dịch vụ Google để tự động hoá việc điều khiển nạn nhân

Nhà nghiên cứu bảo mật cao cấp Nicholas Griffin của Forcepoint cho biết: “Carbanak tiếp tục tìm kiếm các kỹ thuật ẩn danh mới để tránh bị phát hiện. Họ sử dụng Google như một kênh C&C độc lập, giúp tăng khả năng thành công so với việc tạo các domain mới hoặc sử dụng các domain không không có danh tiếng và không tin cậy”.

Các tài liệu RTF được phát hiện đã chèn object OLE có chứa mã VBScript (Visual Basic Script) đã liên kết với mã độc Carbanak từ trước và sử dụng tấn công Kỹ nghệ xã hội để lừa nạn nhân nhấp chuột vào một hình ảnh và truy cập nội dung.

Sau khi nạn nhân nhấp đúp chuột hình ảnh đó, một hộp thoại sẽ mở ra yêu cầu chạy tập tin unprotected.vbe. Nếu nạn nhân chạy tập tin, mã độc VBScript của Carbanak sẽ bắt đầu hoạt động. Mã độc này sẽ gửi và nhận lệnh từ Google Apps Script, Google Sheets và Google Forms.

Bên cạnh mã độc, các nhà nghiên cứu Forcepoint cũng phát hiện một môđun script “ggldr” được mã hóa bên trong tập tin .vbe cùng với các môđun VBScript khác, có khả năng sử dụng dịch vụ của Google để kiểm soát. Script ggldr sẽ gửi và nhận lệnh từ Google Apps Script, Google Sheets và Google Forms. Đối với người dùng bị nhiễm, Google Sheet sẽ tự động được tạo ra để quản lý từng nạn nhân.

Việc sử dụng các dịch vụ của bên thứ ba hợp pháp cho phép kẻ tấn công ẩn danh an toàn. Không may là các dịch vụ Google thường mặc định không bị chặn, vì vậy nó sẽ tăng khả năng thành công giúp những kẻ tấn công sẽ thiết lập một công cụ điều khiển và kiểm soát.

Forcepoint đã thông báo cho Google về vấn đề này và các nhà nghiên cứu của công ty đang làm việc với Hãng về việc lạm dụng các dịch vụ, đặc biệt là các dịch vụ web hợp pháp của Google.

‹ › ×

Tin liên quan

Quản lý tin nhắn rác

09:00 | 18/11/2014

Quản lý tin nhắn rác

Học viện Kỹ thuật mật mã tham gia Ngày hội tư vấn tuyển sinh - hướng nghiệp 2017

11:00 | 21/05/2017

Sáng 26/2/2017, tại Trường Đại học Bách khoa Hà Nội đã diễn ra Lễ khai mạc “Ngày hội tư vấn tuyển sinh - hướng nghiệp 2017”. Sự kiện do báo Tuổi trẻ phối hợp cùng Bộ GD-ĐT, Sở GD-ĐT Hà Nội và Trường Đại học Bách khoa Hà Nội tổ chức.

Ủy ban Khoa học, Công nghệ và Môi trường Quốc hội họp thẩm tra dự án Luật An toàn thông tin

00:00 | 20/05/2015

Ủy ban Khoa học, Công nghệ và Môi trường Quốc hội họp thẩm tra dự án Luật An toàn thông tin

Hơn 300.000 hệ thống mạng có lỗ hổng bảo mật

10:00 | 11/07/2016

Hơn 300.000 hệ thống mạng có lỗ hổng bảo mật

Tin cùng chuyên mục

Cảnh báo 03 lỗ hổng zero-day nguy hiểm của Ivanti CSA đang bị tin tặc khai thác

07:00 | 23/10/2024

Ivanti đã đưa ra cảnh báo rằng 03 lỗ hổng bảo mật mới ảnh hưởng đến Thiết bị dịch vụ đám mây (Cloud Service Appliance - CSA) của công ty đang bị tin tặc khai thác một cách tích cực.

Hơn 700.000 bộ định tuyến DrayTek đang là mục tiêu dễ bị tấn công từ xa

14:00 | 11/10/2024

Các nhà nghiên cứu bảo mật đến từ công ty an ninh mạng Forescout (Mỹ) đã phát hiện 14 lỗ hổng bảo mật được đánh giá nghiêm trọng trên bộ định tuyến DrayTek.

Hàng triệu xe ô tô Kia có thể bị tin tặc kiểm soát bằng cách quét biển số xe

13:00 | 07/10/2024

Các nhà nghiên cứu cho biết một lỗ hổng bảo mật khiến hàng triệu chiếc xe Kia sản xuất từ năm 2023 có thể bị chiếm quyền điều khiển, cho phép kẻ tấn công kiểm soát từ xa.