IBM Phát hiện Trojan ngân hàng UnregStealer nhắm vào các ngân hàng tại Mỹ Latinh

IBM đã phát hiện một trojan đánh cắp thông tin ngân hàng được gọi là UnregStealer, nhắm mục tiêu vào các ngân hàng tại Mỹ Latinh trong khi ngụy trang thành một tiện ích mở rộng trình duyệt Chrome. Nghiên cứu viên mối đe dọa cấp cao Itzhak Chimino cho biết phần mềm độc hại lừa người dùng cài đặt nó bằng cách hiển thị các cảnh báo bảo mật giả mạo về việc cập nhật chứng chỉ SSL bắt buộc. Trojan này vận hành với sự giám sát thủ công của con người, khiến nó gần như vô hình đối với các hệ thống sandbox và phát hiện hành vi, vốn không bao giờ “thấy” payload được kích hoạt. Cách thức hoạt động này cho phép UnregStealer đánh cắp cookie phiên, mật khẩu, mật khẩu dùng một lần (one-time passwords) và số tài khoản từ các nạn nhân truy cập các cổng ngân hàng được nhắm mục tiêu.

UnregStealer Ngụy Trang Thành Cập Nhật Chứng Chỉ SSL

Theo Chimino, UnregStealer lừa người dùng thông qua các cảnh báo bảo mật bịa đặt. Dựa trên quy ước đặt tên file thực thi và mô hình phân phối, nạn nhân sẽ được trình bày một cảnh báo cho thấy trình duyệt của họ cần cập nhật chứng chỉ SSL bắt buộc. Chứng chỉ này hoàn toàn do kẻ tấn công tạo ra, và không hề tồn tại yêu cầu như vậy đối với trình duyệt. Đây chỉ là một câu chuyện ngụy trang thuyết phục để khiến nạn nhân chạy một file thực thi.

Malware Đánh Cắp Thông Tin Đăng Nhập Ngân Hàng Qua Giám Sát Phiên

Khi người dùng duyệt Internet, phần mềm độc hại chạy một tập lệnh để kiểm tra xem nạn nhân có đang truy cập một trong các trang web nằm trong danh sách các cổng ngân hàng được nhắm mục tiêu hay không. Nếu đúng, malware sẽ đánh cắp cookie phiên của trang web ngân hàng mà nạn nhân đang truy cập. Mỗi khi một trường được bấm và thông tin được nhập vào, malware sẽ thu thập các thông tin nhạy cảm như mật khẩu, mật khẩu dùng một lần và số tài khoản.

Vận Hành Thủ Công Giúp Né Tránh Hệ Thống Phát Hiện

Chimino giải thích rằng trojan này có sự tham gia của một người vận hành thực sự, theo dõi trực tiếp từng phiên của nạn nhân và kích hoạt thao tác thủ công. Biến thể này khiến chiến dịch gần như vô hình trước sandbox và các hệ thống phát hiện hành vi vốn không bao giờ quan sát được payload được kích hoạt. Khi thông tin được thu thập xong, bước tiếp theo của UnregStealer sẽ được quyết định bởi người vận hành của nó.

IBM Xác Định Tiềm Năng Mở Rộng Nhắm Mục Tiêu

Theo Chimino, phần mềm độc hại ngân hàng UnregStealer có năng lực và tiềm năng trở thành một mối đe dọa lớn hơn. Các mẫu hạ tầng được quan sát cho thấy có một người vận hành sở hữu năng lực và động cơ để mở rộng việc nhắm mục tiêu vượt ra ngoài những gì cuộc điều tra này đã xác nhận.

FAQ

UnregStealer là gì và nó nhắm mục tiêu nạn nhân như thế nào?

UnregStealer là một trojan đánh cắp thông tin ngân hàng nhắm vào các ngân hàng tại Mỹ Latinh bằng cách ngụy trang thành một tiện ích mở rộng của trình duyệt Chrome. Nó lừa người dùng cài đặt thông qua các cảnh báo bảo mật giả về việc cập nhật chứng chỉ SSL bắt buộc, vốn hoàn toàn do kẻ tấn công bịa đặt.

UnregStealer né tránh các hệ thống phát hiện như thế nào?

Phần mềm độc hại có sự tham gia của một người vận hành thực sự, theo dõi trực tiếp từng phiên của nạn nhân và kích hoạt thao tác thủ công. Việc vận hành thủ công này khiến chiến dịch gần như vô hình đối với sandbox và các hệ thống phát hiện hành vi vốn không bao giờ thấy payload được kích hoạt.

UnregStealer đánh cắp những thông tin gì từ nạn nhân?

UnregStealer đánh cắp cookie phiên của các trang web ngân hàng và thu thập các thông tin nhạy cảm như mật khẩu, mật khẩu dùng một lần và số tài khoản mỗi khi một trường được bấm và thông tin được nhập vào trên các cổng ngân hàng được nhắm mục tiêu.