Một phần mềm độc hại được Trend Micro phát hiện gần đây có tên hàm MnuBot, hoạt động như một trojan truy cập từ xa (RAT) và sử dụng cơ sở dữ liệu máy chủ Microsoft SQL làm máy chủ C&C.
Các phần mềm độc hại dạng Delphi này thực hiện tấn công mục tiêu trong hai giai đoạn và được phát hiện có liên quan đến sự hoạt động của các chủng phần mềm độc hại tại Brazil.
Trong giai đoạn 1 của cuộc tấn công, phần mềm độc hại tìm kiếm file Desk.txt và sẽ không có bất kì hành động gì khi tìm thấy tệp này, vì điều đó chứng tỏ nó đang tấn công một hệ thống mới hoàn toàn. Nếu tệp không tồn tại, phần mềm độc hại sẽ tạo một màn hình mới và chuyển người dùng sang đó. Chi tiết máy chủ sẽ được phần mềm độc hại giải mã và sử dụng để thiết lập tương tự cấu hình ban đầu. Trong khi đó MnuBot sẽ kiểm tra để tìm thông tin trong bộ nhớ cũ về tên ngân hàng và tương tác vói máy chủ C&C, chuyển sang giai đoạn thứ hai của cuộc tấn công.
Giai đoạn 2 liên quan đến một RAT cung cấp quyền kiểm soát hoàn toàn kết nối mạng. Một trang web giả mạo với biểu mẫu tương tự như trang web ngân hàng thực sự sẽ được hiển thị để đánh lừa nạn nhân. Nó sẽ nhắc người dùng nhập thông tin đăng nhập để truy cập. Trong khi đó, kẻ tấn công sẽ sử dụng những thông tin đánh cắp được để thực hiện các giao dịch bất hợp pháp bằng tài khoản của nạn nhân. Những mục tiêu nằm trong danh sách tấn công bao gồm:
- Chụp màn hình trình duyệt và màn hình desktop.
- Cài phần mềm đánh cắp thông tin vào thiết bị.
- Ghi lại thông tin nhấp chuột và bàn phím được gõ.
- Khởi động lại máy.
- Tự động gỡ phần mềm diệt virus.
- Tạo trang web, ứng dụng giảo mạo.
- Yêu cầu điền thông tin cá nhân vào biểu mẫu có sẵn.
Các nhà phân tích của Trend Micro nghiên cứu thấy việc ngụy trang dưới dạng trao đổi lưu lượng MSSQL thông thường khiến MnuBot rất khó bị phát hiện. Các tin tặc phát triển MnuBot cũng có thể tự động thay đổi hoạt động của phần mềm độc hại này bằng cách sửa cấu hình trực tiếp trên máy chủ. Điều này ngăn cản các chuyên gia phân tích điều tra nguồn gốc của nó thông qua kỹ thuật đảo ngược, vì các chuỗi mã sẽ đóng phần mềm độc hại hoặc máy chủ cơ sở dữ liệu lại khi có nhân tố lạ mặt xâm nhập và truy vấn tệp.
Tội phạm công nghệ cao đang phát triển các kỹ thuật mới để tăng cường hoạt động tấn công của chúng. Do đó, nhiệm vụ đặt ra là kêu gọi những hãng bảo mật hàng đầu đưa ra các giải pháp bảo mật mới, cập nhật nâng cấp cũng tăng cường ý thức sử dụng phần mềm bảo vệ hệ thống và dữ liệu cá nhân cùng doanh nghiệp.
Dưới đây là một số giải pháp mà Trend Micro khuyên dùng để bảo vệ các giao dịch tài chính của bạn:
- Cẩn thận các yêu cầu về thông tin cá nhân và nhạy cảm mà có thể bị tin tặc sử dụng để xác thực đăng nhập. Các ngân hàng sẽ không trực tiếp yêu cầu thông tin được gửi qua email hoặc hỏi số OTP gửi qua tin nhắn và ứng dụng của bạn. Gọi trực tiếp cho ngân hàng để xác nhận yêu cầu cung cấp thông tin và tra cứu số điện thoại ngân hàng từ nguồn tin chính xác nhất, chứ không phải số điện thoại được gửi trong email đáng ngờ.
- Hãy nhận biết các liên kết và trang web truy cập có đáng tin cậy hay không bằng một số thủ thuật nhỏ, thay vì nhấp trực tiếp vào liên kết từ email, hãy nhập URL đó trên cửa sổ riêng.
- Thường xuyên tải xuống các bản cập nhật từ nhà cung cấp có danh tiếng.
- Theo dõi hệ thống thường xuyên, nếu máy tính của bạn hiển thị cửa sổ bật lên đáng ngờ hoặc gặp sự cố hệ thống, hãy chạy quét phần mềm bảo mật để đảm bảo hệ thống không bị nhiễm độc.