Botnet Probe Tăng 70G Bytes dữ liệu cá nhân, tài chính

Các nhà nghiên cứu từ Đại học California giành quyền kiểm soát mạng lưới máy tính bị tấn công nổi tiếng và mạnh mẽ trong 10 ngày, có được cái nhìn sâu sắc về cách đánh cắp dữ liệu cá nhân và tài chính.

Các botnet, được gọi là Torpig hoặc Sinowal, là một trong những mạng tinh vi hơn sử dụng phần mềm độc hại khó phát hiện để lây nhiễm máy tính và sau đó thu thập dữ liệu như mật khẩu email và thông tin ngân hàng trực tuyến. có thể giám sát hơn 180.000 máy tính bị tấn công bằng cách khai thác điểm yếu trong mạng lệnh và kiểm soát được tin tặc sử dụng để điều khiển máy tính. Tuy nhiên, nó chỉ hoạt động được 10 ngày, cho đến khi tin tặc cập nhật các lệnh điều khiển và kiểm soát, theo bài báo 13 trang của nhà nghiên cứu.

[Đọc thêm: Cách xóa phần mềm độc hại khỏi máy tính Windows của bạn]

Tuy nhiên, đó là đủ của một cửa sổ để xem sức mạnh thu thập dữ liệu của Torpig / Sinowal. Trong thời gian ngắn, khoảng 70G byte dữ liệu được thu thập từ các máy tính bị tấn công.

Các nhà nghiên cứu lưu trữ dữ liệu và đang làm việc với các cơ quan thực thi pháp luật như Cục điều tra liên bang Mỹ, ISP và thậm chí Bộ Quốc phòng Hoa Kỳ để thông báo nạn nhân. Các ISP cũng đã đóng cửa một số trang web được sử dụng để cung cấp các lệnh mới cho các máy bị tấn công, họ viết.

Torpig / Sinowal có thể lấy tên người dùng và mật khẩu từ các ứng dụng email như Outlook, Thunderbird và Eudora. địa chỉ e-mail trong các chương trình đó để người gửi spam sử dụng.

Torpig / Sinowal có thể lây nhiễm sang PC nếu máy tính truy cập một trang web độc hại được thiết kế để kiểm tra xem máy tính có phần mềm chưa được vá hay không, một kỹ thuật được gọi là tấn công tải xuống theo ổ đĩa. Nếu máy tính dễ bị tấn công, một phần mềm độc hại cấp thấp gọi là rootkit được luồn sâu vào hệ thống.

Các nhà nghiên cứu phát hiện ra rằng Torpig / Sinowal kết thúc trên một hệ thống sau khi nó bị nhiễm Mebroot, rootkit xuất hiện vào khoảng tháng 12 năm 2007.

Mebroot lây nhiễm Master Boot Record (MBR) của máy tính, mã đầu tiên mà máy tính tìm kiếm khi khởi động hệ điều hành sau khi BIOS chạy. Mebroot mạnh mẽ vì bất kỳ dữ liệu nào rời khỏi máy tính cũng có thể bị chặn.

Mebroot cũng có thể tải mã khác xuống máy tính.

Torpig / Sinowal được tùy chỉnh để lấy dữ liệu khi một người truy cập vào một số ngân hàng trực tuyến và các trang web khác. Nó được mã hóa để đáp ứng cho hơn 300 trang web, với những trang được nhắm mục tiêu hàng đầu là PayPal, Poste Italiane, Capital One, E-Trade và ngân hàng Chase, giấy tờ cho biết.

Nếu một người truy cập vào trang web ngân hàng, một hình thức giả mạo được phân phối dường như là một phần của trang web hợp pháp, nhưng yêu cầu một loạt dữ liệu mà ngân hàng thường không yêu cầu, chẳng hạn như mã PIN (số nhận dạng cá nhân) hoặc số thẻ tín dụng. Mã hóa SSL (Secure Sockets Layer) không an toàn nếu được sử dụng bởi máy tính với Torpig / Sinowal, vì phần mềm độc hại sẽ lấy thông tin trước khi nó được mã hóa, các nhà nghiên cứu viết.

Tin tặc thường bán mật khẩu và thông tin ngân hàng trên diễn đàn ngầm tội phạm khác, những người cố gắng để bí mật dữ liệu thành tiền mặt. Trong khi rất khó để ước tính chính xác giá trị của thông tin thu thập được trong 10 ngày, nó có thể có giá trị từ 83.000 đến 8,3 triệu đô la Mỹ, nghiên cứu cho biết.

Có nhiều cách để phá vỡ các botnet như Torpig / Sinowal. Mã botnet bao gồm một thuật toán tạo ra các tên miền mà phần mềm độc hại gọi cho các hướng dẫn mới.

Các kỹ sư bảo mật thường có thể tìm ra các thuật toán đó để dự đoán tên miền nào sẽ nhiễm phần mềm độc hại và đăng ký các tên miền đó để phá vỡ botnet. Nó là một quá trình tốn kém, tuy nhiên. Ví dụ, sâu Conficker có thể tạo tối đa 50.000 tên miền mỗi ngày.

Nhà đăng ký, các công ty bán đăng ký tên miền, nên đóng một vai trò lớn hơn trong việc hợp tác với cộng đồng an ninh, các nhà nghiên cứu viết. Nhưng các nhà đăng ký có vấn đề riêng của họ.

"Với một số ngoại lệ, họ thường thiếu các nguồn lực, ưu đãi hoặc văn hóa để giải quyết các vấn đề an ninh liên quan đến vai trò của họ", tờ báo cho biết.