Thứ Tư, 26 tháng 1, 2011

Trojan ngân hàng trực tuyến phát triển nhanh

Online banking trojan developing fast

20 January 2011, 11:56

Theo: http://www.h-online.com/security/news/item/Online-banking-trojan-developing-fast-1172452.html

Bài được đưa lên Internet ngày: 20/01/2011

Lời người dịch: Chúng ta đã biết tới bộ công cụ xây dựng phần mềm độc hại ZeuS từng được cho là vua của các bộ công cụ tạo phần mềm độc hại nhằm tới các dịch vụ ngân hàng trực tuyến. Tuy nhiên, trong thời gian vài tháng trở lại đây, đã xuất hiện một bộ công cụ khác, được cho là sẽ canh tranh được với ZeuS, đó là Carberp. “Trong khi các phiên bản đầu tiên của Carberp từng rất đơn giản trong xây dựng của nó, thì những phiên bản mới hơn lại được trang bị với một danh sách các tính năng khá ấn tượng. Nó bây giờ chạy trên tất cả các phiên bản Windows, bao gồm cả Windows 7, nơi mà, theo TrustDefender, là có khả năng làm công việc của nó mà không cần các quyền ưu tiên của người quản trị. Về mặt kỹ thuật thì điều này không đáng đánh dấu là đặc biệt gì - các quyền ưu tiên của người sử dụng là, ví dụ, đủ để đăng ký như một mở rộng của trình duyệt. Điều này có thể cho phép một Trojan đọc và sửa thậm chí các giao thông ngân hàng trực tuyến được mã hóa bằng những phương tiện của một cuộc tấn công 'người trong trình duyệt'”.

Bộ xây dựng Trojan Carberp, mà lần đầu tiên nổi lên vào mùa thu, dường như đang nhanh chóng được phát triển, theo các báo cáo từ các nguồn, kể cả từ nhà cung cấp dịch vụ an ninh Seculert, nhà phân tích Toni Koivunen của F-Secure đã gọi nó là ngôi sao đang lên trong thế giới Trojan cho ngân hàng.

Trong khi các phiên bản đầu tiên của Carberp từng rất đơn giản trong xây dựng của nó, thì những phiên bản mới hơn lại được trang bị với một danh sách các tính năng khá ấn tượng. Nó bây giờ chạy trên tất cả các phiên bản Windows, bao gồm cả Windows 7, nơi mà, theo TrustDefender, là có khả năng làm công việc của nó mà không cần các quyền ưu tiên của người quản trị. Về mặt kỹ thuật thì điều này không đáng đánh dấu là đặc biệt gì - các quyền ưu tiên của người sử dụng là, ví dụ, đủ để đăng ký như một mở rộng của trình duyệt. Điều này có thể cho phép một Trojan đọc và sửa thậm chí các giao thông ngân hàng trực tuyến được mã hóa bằng những phương tiện của một cuộc tấn công 'người trong trình duyệt'.

Carberp bây giờ cũng có thể làm sạch các hệ thống bị lây nhiễm để thắng trong bất kỳ sự cạnh tranh nào. Phiên bản mới nhất ăn cắp các dữ liệu trước cả việc truyền có sử dụng một khóa ngẫu nhiên, mà khách hàng đăng ký với máy chủ kiểm soát. Cho tới bây giờ, các bots đã sử dụng các khóa tĩnh được mã hóa trong bản thân chương trình - mà, tất nhiên, đã làm cho cuộc sống dễ dàng hơn nhiều đối với các chuyên gia chống virus.

Khía cạnh thú vị nhất là việc những chức năng này đã được bổ sung vào Carberp trong một thời gian chỉ vài tháng. Một cuộc chiến tranh thành công đối với nền tảng những người dùng của ZeuS hiện đang nổi lên trong lĩnh vực lừa đảo ngân hàng trực tuyến, khi mà công việc phát triển trên ZeuS dường như đã dừng. Carberp và SpyEye là trong số những kẻ dẫn đầu, nhưng khó có thể đoán trước được kết quả cuối cùng. Tuy nhiên, ngày một trở nên rõ ràng hơn rằng trận chiến một phần được đánh nhau bằng những phương tiện đối với các tính năng và vì thế các phiên bản Trojan phức tạp hơn bao giờ hết sẽ được mong đợi.

Trojan construction kit Carberp, which first emerged in the autumn, appears to be undergoing rapid development, according to reports from sources that include security services provider Seculert. F-Secure analyst Toni Koivunen is already calling it the rising star of the banking trojan world.

Where the first versions of Carberp were very simple in their construction, newer versions are equipped with a pretty impressive list of features. It now runs on all versions of Windows, including Windows 7, where, according to TrustDefender, it is able to do its work without requiring administrator privileges. Technically, this is not particularly remarkable – user privileges are, for example, sufficient for it to register as a browser extension. This would allow a trojan to read and modify even encrypted online banking traffic by means of a 'man-in-the-browser' attack.

Carberp can also now clean up infected systems to get shot of any competition. The latest version encrypts stolen data prior to transfer using a random key, which the client registers with the control server. Until now, bots have used static keys encoded into the program itself – which, of course, made life a lot easier for anti-virus specialists.

The most interesting aspect is that these functions have been added to Carberp over a period of just a few months. A war of succession for ZeuS' customer base is currently raging in the online banking fraud sector, since development work on ZeuS appears to have stopped. Carberp and SpyEye are among the frontrunners, but it is difficult to predict the eventual outcome. It is, however, becoming increasingly clear that the battle will in part be fought by means of features and therefore ever more sophisticated trojan versions are to be expected.

(crve)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.