Malware có thể đánh cắp tài khoản Facebook, Twitter và Gmail

Các nhà nghiên cứu vừa phát hiện ra một biến thể malware mới và phức tạp, dựa trên trojan ngân hàng nổi tiếng Zeus nhưng không chỉ đánh cắp tài khoản ngân hàng.

Có tên Terdot, trojan ngân hàng này đã có mặt từ khoảng giữa năm 2016 và ban đầu được thiết kế để tấn công qua MtiM (man-in-the-middle), đánh cắp thông tin thẻ tín dụng và tiêm mã HTML vào trang web.

Mới đây các nhà nghiên cứu tại Bitdefender đã phát hiện ra biến thể của trojan này với khả năng dùng các công cụ mã nguồn mở làm giả SSL để truy cập mạng xã hội và tài khoản email, thậm chí là đăng bài giả mạo như thật.

Trojan ngân hàng ngày sử dụng proxy MitM cho phép can thiệp vào traffic của người dùng. Bên cạnh đó, nó còn có khả năng cập nhật tự động để tải và thực thi tập tin.

Trojan ngân hàng nhưng có thể đánh cắp tài khoản Facebook, Twitter và Gmail

Theo những phân tích mới nhất, Terdot có thể nhắm tới tấn công mạng xã hội, trong đó có Facebook, Twitter, Google Plus, Youtube và các dịch vụ email như Gmail, live.com của Microsoft hay Yahoo Mail.

Xem thêm: Cách lấy lại tài khoản Facebook bị hack

Vốn là trojan ngân hàng nhưng biến thể Terdot còn đánh cắp cả tài khoản mạng xã hội

Điều thú vị là malware này tránh không lấy dữ liệu liên quan tới ứng dụng mạng xã hội lớn nhất của Nga là VKontakte (vk.com) nên có thể tác giả của nó là người ở Đông Âu.

Trojan ngân hàng này chủ yếu phát tán qua website bị hack bằng SunDown Exploit Kit, nhưng cũng có thể xâm nhập qua email bằng biểu tượng nút PDF giả. Khi click vào, nó sẽ thực thi đoạn mã JavaScript để tải và chạy tập tin malware. Để tránh bị phát hiện, nó dùng một chuỗi nhỏ giọt, tiêm và tải thành từng phần.

Khi đã lây nhiễm, nó chui vào quy trình của trình duyệt để chuyển kết nối web tới proxy của mình, đọc traffic và tiêm spyware. Nó cũng đánh cắp thông tin xác thực bằng cách xem yêu cầu của nạn nhân hoặc tiêm mã spyware JavaScript vào phản hồi.

Terdot có thể vượt qua các giới hạn của TLS (Transport Layer Security) bằng cách tạo CA (Certificate Authority) và chứng thực cho các domain mà nạn nhân truy cập. Bất kì thông tin nào gửi tới nhân hàng hay mạng xã hội đều bị Terdot xem và chỉnh sửa trong thời gian thực, nghĩa là nó còn có thể phát tán qua các link giả trên mạng xã hội nữa.

Thông tin chi tiết về trojan này, bạn có thể đọc thêm tại đây. https://labs.bitdefender.com/2017/11/terdot-zeus-based-malware-strikes-back-with-a-blast-from-the-past/