Cảnh báo về malware GameOverZeus (GOZ)
Cảnh báo của Cơ quan an minh mạng Hoa Kỳ CERT (www.us-cert.gov) http://www.us-cert.gov/ncas/alerts/TA14-150A
1) Zeus là một mã độc tinh vi được tạo ra để lấy cắp các dữ kiện đăng nhập (login credentials) vào các trương mục ngân hàng trên các máy điện toán cá nhân (banking malware)
Khám phá lần đầu tiên vào năm 2007, các máy bị nhiễm Zeus tạo thành một mạng tập trung (centralized network) với những máy chủ C2C (Command and Control Server) cố định. Tuy nhiên sau đó malware Zeus đã biến dạng nhiều lần qua nhiều dạng khác tinh vi hơn và mới đây liên lạc được với nhau hàng ngang qua một mạng Peer to Peer, cũng như nối với một mạng máy đệm (proxy) và máy chủ C2C thường xuyên thay đổi. Do đó, các mạng Zeus rất khó khám phá và triệt hạ. Ước lượng có đến cả triệu máy bị nhiễm Zeus trên khắp thế giới.
2) Vì tinh chất độc hại của Zeus, nên các cơ quan an minh mạng quốc gia và các giới chuyên viên đã lập ra hẳn những trang mạng để truy lùng gắt gao các máy chủ C2C trên khắp thế giới (https://zeustracker.abuse.ch) để triệt hạ. Vì tất cả các dự kiện lấy cắp được đều được gởi về các máy chủ C2C. Do đó, nếu triệt hạ máy chủ các malware Zeus không thể chuyển đi đâu được nữa và trở thành vô hại dù vẫn còn đó. Hiện nay, trong domain vn (các máy chủ tại Việt Nam) có ít nhất có 6 máy chủ C2C của Zeus đang hoạt động (xem dưới đây). Điều này không có nghĩa là tin tặc tại VN làm việc này, mà có thể các tin tặc các nhóm ngoài VN đã lợi dụng mức độ an ninh kém các máy chủ (server) tại VN để cài malware Zeus C2C, để làm một mạng C2C trải rộng trên khắp thế giới.
Results in Host table (ZeuS C&Cs + FakeHosts)
CC
|
FU
|
ZeuS Host
|
IP address
|
Level
|
Status
|
Files Online
|
Country
|
AS number
|
CC
|
2
|
online
|
0
| |||||
CC
|
2
|
online
|
0
| |||||
CC
|
2
|
online
|
0
| |||||
CC
|
2
|
online
|
0
| |||||
CC
|
2
|
online
|
0
| |||||
CC
|
2
|
online
|
0
|
3) Hiện nay hầu như mọi nhu liệu phòng chống virus đều đã có dấu của Zeus (signature), do đó khuyến cáo tổng quát của US CERT là
a) cần có nhu liệu phòng chống malware cập nhật,
b) cài đặt các vá an ninh (security patch) các hệ thống điều hành thường xuyên,
c) khi tình nghi bị nhiễm, cần phải thay đổi ngay mật khẩu các trương mục ngân hàng xử dụng
4) Hiện nay Zeus đang được dùng cùng với một malware có tiếng khác là CryptoLocker, gọi làm malware dùng để tống tiền (ransomware), chuyên mã hóa các ngăn hồ sơ (directory) và fìles, và sau đó dòi tiền bằng bitcoin. Nếu người bị nhiễm không đóng tiền, các ngăn hồ sơ và hồ sơ sẽ bị mất luôn vì không thể mở được nữa. CryptoLocker thường đườc gài qua mail phishing dưới dạng điện thư của UPS, FedEx. Cơ quan FBI cho biết Zeus đã lấy được hơn 100 triệu MK bên Hoa Kỳ. Hiện tòa án tại Pittsburg đã truy tố một công dân Nga tên Evgeniy Mikhailovich Bogachev, 30 tuổi, với bí danh "lucky12345" và "slavik" và đồng lõa về tội chủ mưu mạng Zeus (administrator), tống tiền, lừa đảo.
5) Nếu cần chi tiết xin vào https://www.us-cert.gov/ncas/alerts/TA13-309A . Do đó, thật cẩn thận khi nhận mail lạ chứa những đường dẫn lạ. Trong các trường hợp này, nên hủy ngay.
Không có nhận xét nào:
Đăng nhận xét