“Bắt kẻ” chuyên trộm tài khoản ngân hàng

02:52 | 19.10.2010

Thứ Năm, 07/05/2009, 13:25

(ANTĐ) - Trong tháng 4 vừa qua rootkit nguy hiểm chuyên đánh cắp các tài khoản cá nhân tại các ngân hàng với tên gọi MaOSRootkit đã quay trở lại với một loạt biến thể mới. Thống kê sơ bộ cho thấy rootkit này đã đánh cắp thành công hàng trăm nghìn tài khoản cá nhân và hiện đang lây nhiễm nhanh đến mạng máy tính ở Việt Nam, CMC InfoSec cảnh báo ngày 6.5.

Rootkit này đã có hàng loạt các biến thể làm đau đầu các hãng bảo mật lớn trên thế giới. Tuy nhiên, phần mềm bảo mật CMC Antivirus và CMC Internet Security (phiên bản mới đã tích hợp sẵn công cụ chống rootkit CMC CodeWalker) đã cập nhật khả năng phát hiện và loại bỏ mã độc cao cấp này.

MaOSRootkit (hay còn gọi là Mebroot) là một loại rootkit đặc biệt, lây nhiễm rất sâu vào hệ thống, ở mức Master Boot Record (MBR) – sector đầu tiên trên ổ cứng của hệ thống. MaOSRootkit sẽ chỉnh sửa hệ thống ngay sau khi hệ điều hành được khởi động, đồng thời tác động vào các thành phần trọng yếu của hệ thống để đánh lừa các phần mềm diệt virus. Kỹ thuật này khiến cho hầu hết các phần mềm diệt virus không thể thấy được sự hoạt động của nó, và đương nhiên nó trở thành “vô hình” với các phần mềm bảo mật, kể cả các tường lửa cá nhân như Zone Alarm, KIS, Outpost …

Nhờ khả năng này, MaOSRootkit đã lây nhiễm khoảng 180 nghìn máy với 1,2 triệu IP trên thế giới và Mỹ là nước có mức độ lây nhiễm mạnh nhất.

Còn  theo nghiên cứu của trường Đại Học California (Mỹ) công bố ngày 04/05/2009: “Chỉ với 10 ngày theo dõi MaOSRootkit bootnet, đã có 8.310 tài khoản ngân hàng, 1.235.122 mật khẩu Windows, 100.472 tài khoản SMTP, 415.206 tài khoản POP, 411.039 tài khoản HTTP và 1.258.862 tài khoản mail  bị đánh cắp.”

MaOSRootkit có khả năng lây nhiễm và hoạt động ổn định trên tất cả các HĐH Windows đặc biệt là Windows XP. Theo đánh giá của các chuyên gia thì rootkit này được viết rất chuyên nghiệp, tính ổn định cao và ăn rất sâu vào hệ thống. Bản thân loại mã độc này có khả năng tương tác và thực hiện các tác vụ như gửi thông tin ra bên ngoài, download file, v.v..  mà không cần thông qua các dịch vụ của HĐH. Một khi MaOSRootkit nhiễm vào hệ thống, chúng bắt đầu đánh cắp thông tin. MaOSRootkit được ví như là "Hệ điều hành Malware (Malware OS) chạy bên trong hệ điều hành Windows".

Mục tiêu chính của MaOSRootkit nhắm tới chính là các tài khoản cá nhân ở ngân hàng, đồng thời biến các máy tính nạn nhân thành zombie trong mạng botnet và hacker nắm toàn quyền đối với máy bị nhiễm.  Đã có hàng nghìn website được dựng lên để phát tán loại mã độc nguy hiểm này. Ngoài ra, rất nhiều loại sâu máy tính khác được thiết lập để tải rootkit này về máy của người dùng.

Phiên bản alpha và beta của MaOSRootkit  được phát hiện đầu tiên vào tháng 12/2007, nó đã và đang khiến các hãng an ninh bảo mật trên thế giới phải đau đầu.

Trong thời gian từ đầu tháng 3 đến nay, nhóm tội phạm đứng sau MaOSRootkit liên tục triển khai các chiến dịch lây lan biến thể mới. Trung bình cứ một tuần chúng lại đưa ra một đợt tấn công trên diện rộng. MaOSRootkit được triển khai giống hệt như phát triển phần mềm: có giai đoạn alpha, beta, release candidate, ứng dụng đại trà và cập nhật. Các biến thể mới luôn được nâng cấp đều đặn, bổ sung tính năng che giấu bản thân cao cấp và ổn định hơn các biến thể trước.

 Hiện tại, nhiều công cụ bảo mật nổi tiếng khác trên thế giới vẫn chưa thể phát hiện được những biến thể mới của MaOSRootkit. 

CMC CodeWalker có thể hoạt động độc lập hoặc tích hợp sẵn trong phần mềm CMC Antivirus hoặc CMC Internet Security phiên bản mới,được phát triển với khả năng phát hiện những biến thể mới nói trên. Công cụ này sẽ phát hiện sự lây nhiễm cũng như hoạt động của chúng và thông báo tới người dùng. 

Bản để in Chia sẻ

Tin mới nhận

Các tin khác