Vừa mới bước qua năm mới 2008 được hai tuần, nhưng thế giới đang phải đối mặt với nạn tấn công của vô số các loại Trojan. Cách đây mấy ngày là việc Trojan xâm nhập vào MySpace và trước đó là điện thoại iPhone nổi tiếng nhưng ở lần này vấn đề trở nên nghiêm trọng hơn khi mục tiêu là các dữ liệu ngân hàng.

Phần mềm Trojan mới đánh cắp thông tin tài khoản ngân hàng bằng cách "bắt" lấy trước khi nó được mã hóa và gửi đến cơ sở dữ liệu của kẻ tấn công.

Trojan được Symantec đặt tên là Trojan.Silentbanker có khả năng can thiệp vào các phiên giao dịch ngân hàng trực tuyến mà thường được bảo vệ bằng thủ tục xác thực hai nhân tố. Trong suốt quá trình giao dịch, Silentbanker sẽ bí mật thay đổi thông tin tài khoản ngân hàng của người dùng bằng tài khoản của kẻ tấn công. Bởi vì nạn nhân không biết dữ liệu tài khoản của họ đã bị thay đổi nên đã chuyển tiền đến tài khoản của kẻ tấn công sau khi đã nhập mật khẩu chứng thực thứ hai.

Mặc dù Trojan.Silentbanker đã được liệt kê trong danh sách của Symantec với mức độ phân tán thấp và dễ dàng gỡ bỏ khỏi hệ thống nhiễm. Song theo Liam O'Murchu, thành viên của nhóm phản ứng nhanh sự cố bảo mật của Symantec thì Silentbanker vẫn tồn tại một mối đe dọa nghiêm trọng bởi người dùng không thể phát hiện ra hoạt động của nó.

Theo lời của O'Murchu thì "Trojan này tải về một tập tin cấu hình chứa tên domain của hơn 400 ngân hàng. Không chỉ là những ngân hàng lớn tại Mỹ có trong mục tiêu, mà còn bao gồm nhiều hệ thống ngân hàng khác thuộc các nước như Pháp, Tây Ban Nha, Ireland, Anh, Phần Lan và Thổ Nhĩ Kỳ ...dánh sách này sẽ còn được kéo dài ra"

Một khi hệ thống bị nhiễm, Silentbanker sẽ có thể can thiệp vào các hàm API (Application Programming Interface) khác nhau trong cả trình duyệt IE lẫn Firefox. Ngay khi nó đã có thể xâm nhập vào trình duyệt thì mọi nguy cơ đều có thể xảy ra bao gồm việc chuyển hướng những yêu cầu dành cho ngân hàng đến một máy tính nằm dưới sự kiểm soát của hacker, hay thay đổi mã HTML để ghi lại thông tin về tên tài khoản và mật khẩu, cũng như chụp lại tất cả các trang web mà người dùng ghé thăm.

Ngoài ra, O'Murchu cũng cho biết trojan này có khả năng tự động cập nhật bằng cách gửi các địa chỉ URL và mã HTML từ các trang web ngân hàng đến cho kẻ tấn công, nhờ vậy chúng có thể xác định được ngân hàng mà chúng chưa có tài khoản.

Symantec khuyến cáo người dùng thực hiện một vài bước sau đây để tự bảo vệ chính mình.

  • Tắt chức năng System Restore để tránh vô tình sao lưu lại một bản của phần mềm Trojan.
  • Đảm bảo rằng phần mềm chống virút của bạn được cập nhật thường xuyên.
  • Thực thi lệnh quét virút toàn bộ hệ thống.

Silentbanker không phải là trojan đầu tiên nhắm vào các tài khoản ngân hàng. Trong năm vừa qua SecureWorks cũng đã phát hiện ra "Prg Banking Trojan" mà họ tin rằng nó đã lây lan cho các khách hàng từ hơn 12 ngân hàng tại Mỹ, Anh, Ý và Tây Ban Nha.

Theo PCWorld



Bình luận

  • TTCN (0)