Nga: Xém mất 130.000 USD vì hacker giở trò tinh vi

Đính kèm tập tin chứa mã độc trong email, sau đó cài key logger và một phần mềm độc hại khác vào máy tính, hacker đã toàn quyền kiểm soát máy tính của kế toán của một công ty tại Nga.

Cụ thể, tội phạm mạng đã lây nhiễm mã độc vào hệ thống máy tính của công ty bằng cách gửi email mạo danh cơ quan thuế nhà nước với mã độc đính kèm. Sau đó, những kẻ tấn công còn sử dụng phiên bản sửa đổi của một chương trình hợp pháp để có được quyền truy cập từ xa vào máy tính của kế toán trong công ty.

Tuy nhiên, ngân hàng đã cố gắng chặn giao dịch ăn cắp 130.000 USD sau khi phát hiện công ty này chính là mục tiêu của tội phạm mạng. Song bọn tội phạm đã kịp tẩu tán thành công 8.000 USD. Việc phải thanh toán khoản tiền 8.000 USD là quá nhỏ để phát sinh một báo động đến các ngân hàng cũng như yêu cầu bổ sung xác thực từ kế toán công ty. Chính sự chủ quan này là cơ hội để bọn tội phạm mạng lộng hành.

Nga: Xém mất 130.000 USD vì hacker giở trò tinh vi - 1

Cuộc chiến với tội phạm mạng chưa bao giờ có hồi kết. (Ảnh minh họa: Internet)

Các chuyên gia tại nhóm phản hồi khẩn cấp trên toàn cầu của Kaspersky Lab (Gert) đã nhận được ổ đĩa cứng của máy tính bị tấn công. Họ nghiên cứu và phát hiện ra nội dung email khả nghi gửi theo tên của cơ quan thuế nhà nước, yêu cầu cung cấp một số tài liệu ngay lập tức theo tập tin Microsoft Office Word đính kèm. Tuy nhiên, khi tài liệu được mở, nó sẽ tự động tải một chương trình độc hại vào máy tính nạn nhân để khai thác lỗ hổng CVE-2012-0158.

Ngoài ra, trên ổ đĩa cứng này, mà các chuyên gia của Gert còn phát hiện ra bản sửa đổi của một chương trình hợp pháp được thiết kế để truy cập máy tính từ xa. Chương trình này thường được sử dụng bởi kế toán, người quản trị hệ thống. Tuy nhiên, phiên bản phát hiện trên máy tính của nạn nhân đã được thay đổi để che giấu sự hiện diện của nó trong hệ thống với các biểu hiện như biểu tượng trong Windows Taskbars bị ẩn, các khóa registry bị thay đổi cài đặt và các giao diện hiển thị đã bị vô hiệu hóa.

Đây không phải là chương trình độc hại duy nhất được phát hiện, điều tra sau đó cho thấy, với sự giúp đỡ của Backdoor.Win32.RMS, tội phạm mạng đã tải về Trojan Backdoor.Win32.Agent vào máy tính nạn nhân. Với Backdoor.Win32.Agent, chúng đã chiếm quyền kiểm soát máy tính, tạo ra một lệnh thanh toán từ xa bất hợp pháp.

Nga: Xém mất 130.000 USD vì hacker giở trò tinh vi - 2

Một quy trình tấn công quen thuộc của hacker.

Vậy câu hỏi được đặt ra là: Làm thế nào mà tội phạm mạng có mật khẩu của kế toán viên để thực hiện giao dịch?

Các chuyên gia tiếp tục điều tra và phát hiện một chương trình độc hại khác mang tên Trojan-Spy.Win32.Delf, đó là key logger ghi lại thao thác nhập từ bàn phím. Bằng cách này, tội phạm mạng có thể đánh cắp mật khẩu của kế toán và thực hiện giao dịch bất hợp pháp.

Khi cuộc điều tra gần hoàn tất, các chuyên gia phát hiện thêm một thực tế đáng ngạc nhiên: Tội phạm mạng đã mắc lỗi trong cấu hình máy chủ C&C của chúng, điều này cho phép các chuyên gia bảo mật phát hiện ra địa chỉ IP của máy tính bị nhiễm Trojan-Spy.Win32.Delf và cảnh báo về mối đe dọa đến người dùng.

Chuyên gia của Kaspersky tư vấn cho các tổ chức sử dụng hệ thống ngân hàng từ xa nên:

- Thiết lập xác thực nhiều bước đáng tin cậy.

- Đảm bảo các phần mềm cài đặt trên máy tính của công ty được cập nhật kịp thời (đặc biệt là máy tính được sử dụng trong bộ phận tài chính).

- Bảo vệ máy tính với một giải pháp bảo mật, đào tạo nhân viên để nhận ra và phản ứng nhanh nhạy với những dấu hiệu của cuộc tấn công.

Chia sẻ
Gửi góp ý
Lưu bài Bỏ lưu bài
Theo Ngọc Phạm (Theo Kaspersky Blog) ([Tên nguồn])
Phần mềm diệt virus Kaspersky Xem thêm
Báo lỗi nội dung
GÓP Ý GIAO DIỆN