Biến thể mới Gozi Trojan hoành hành trở lại

Từ ngày 17/4 trở lại đã đã có hơn 2.000 người dùng gia đình trở thành nạn nhân của biến thể mới nhất con Trojan ăn cắp dữ liệu Gozi.

Biến thể Gozi mới được đánh giá cực kỳ nguy hiểm với những nâng cấp mới và được trang bị khả năng giấu mình cao cấp hơn qua mặt không ít ứng dụng bảo mật chống virus.

Mục tiêu của Gozi là thông tin tài khoản ngân hàng cá nhân, tài khoản thanh toán trực tuyến, mã nhận dạng cá nhân... Và cũng giống như phiên bản trước đây biến thể lần này cũng có khả năng ăn cắp thông tin mã hoá bảo mật SSL. Mọi thông tin ăn cắp được sau đó sẽ được gửi về một máy chủ đặt tại Nga.

Người đã có công phát hiện ra biến thể Gozi mới là chuyên gia nghiên cứu bảo mật Don Jackson của SecureWorks. Đây cũng là người phát hiện ra phiên bản gốc Gozi hồi tháng 1 vừa qua.

"Nâng cấp"

Chuyên gia Jackson cho biết về mặt mã nguồn biến thể Gozi rất giống với phiên bản gốc của nó nhưng đã được bổ sung thêm những nâng cấp quan trọng.

Nâng cấp đầu tiên là bổ sung thêm tính năng đóng gói sản phẩm mới với khả năng mã hoá, chia nhỏ, nén và thậm chí là xoá một phần mã nguồn nhằm qua mặt các ứng dụng bảo mật chống virus. Trong khi đó phiên bản Gozi cũ sử dụng tính năng nén ứng dụng Unpack thông thường nên tương đối dễ bị phát hiện.

Biến thể Gozi mới cũng được trang bị thêm khả năng ghi nhận thao thác trên bàn phím mới và khả năng ăn cắp dữ liệu mã hoá SSL. Chuyên gia Jackson cho biết tính năng keylogger của Gozi chỉ được kích hoạt khi người dùng truy cập vào trang web của ngân hàng hoặc trang web có kết nối SSL.

Biến thể Gozi lần này cũng lợi dụng một lỗ hổng bảo mật trong trình duyệt Internet Explorer để đột nhập vào PC người dùng khi họ truy cập vào một website độc hại có cấy mã khai thác lỗi.

SecureWorks hiện đã liên hệ với các cơ quan chức năng để giúp loại bỏ máy chủ nhận dữ liệu mà Gozi đặt tại Nga.

Phiên bản gốc Gozi đã ăn cắp được hơn 10.000 bản ghi thông tin bí mật của hơn 5.200 người dùng gia đình, doanh nghiệp cơ quan và tổ chức.

Hoàng Dũng