Nâng cấp Trojan ngân hàng Citadel phát tán nhanh phần mềm độc hại

Thứ tư - 24/10/2012 05:50

Citadelbanking Trojan upgrade delivers malware on the fly

by Alastair Stevenson, 19Oct 2012

Theo:http://www.v3.co.uk/v3-uk/news/2218496/citadel-banking-trojan-upgrade-delivers-malware-on-the-fly

Bài được đưa lênInternet ngày: 19/10/2012

Lờingười dịch: Việc ngày càng nhiều các cuộc tấn côngkhông gian mạng nhằm vào các ngân hàng có lẽ báo độngmột thời kỳ nguy hiểm mới, trong đó có Trojan ngân hàngCitadel, hậu duệ của Zeus. Đây là các trích đoạn từbài viết này: “Một trongnhững thói quen nguy hiểm nhất đối với Citadel là cơchế thiết lập cấu hình mới động của nó.Điều này cho phép những ông chủ botnet Citadel châm nộidung độc hại vào các trình duyệt bị tổn thương theothời gian thực. Khả năng thayđổi động botnet là đặc biệt nguy hiểm khi nó làm choCitadel khó hơn nhiều để dò tìm ra và cho phép các phầnmềm độc hại lan truyền qua các hệ thống nhanh hơn...Phần mềm độc hại này hiện được biết đang đượcbán ít nhất trên 2 thị trường đen không gian mạng, bánlẻ với giá 3.391 USD... Gần đây nhất HSBCvà US Bank Ally Financial đã nóicác cuộc tấn công vào các mạng của họ. HSBC đã nóibị đánh vì một cuộc tấn công từ chối dịch vụ hômthứ sáu... Trước các cuộc tấn công đó, các website củacác ngân hàng Bankof America, JPMorgan Chase và Wells Fargođã bị ngừng chạy mà không có giải thích nào, đượctin tưởng là do các cuộc tấn công không gian mạng gâyra. Sự quay cuồng của các cuộc tấn công đã dẫn tớiviệc Trung tâm Phân tích và Chia sẻ Thông tin các Dịch vụTài chính (FS-ISAC) phải nângcấp tình trạng Cố vấn Mối đe dọa Không gian mạng từCao vừa lên Cao vào đầu tháng 9”.

Một phiên bản mớicủa Trojan ngân hàng Citadel tai tiếng đã bị phát hiệnnhằm vào nền công nghiệp tài chính, khi các mối đe dọacho thế giới ngân hàng gia tăng.

Báo cáo tới vào cùngngày HSBC bị một cuộc tấn công DDOS đánh khắp toàn cầuvà các báo cáo rằng ngân hàng Mỹ Ally Financial đã bịmột cuộc tấn công độc hại đánh.

Phiên bản mới nàylà phiên bản thứ 6 được phát hiện kể từ khi Citadellần đầu tiên được xác định vào tháng 1. Nhà cung cấpan ninh RSA đã cảnh báo rằng phiên bản mới này, tên mãlà Rain (mưa), có một số tính năng mới.

Mộttrong những thói quen nguy hiểm nhất đối với Citadel làcơ chế thiết lập cấu hình mới động của nó. Điềunày cho phép những ông chủ botnet Citadel châm nội dung độchại vào các trình duyệt bị tổn thương theo thời gianthực.

Khảnăng thay đổi động botnet là đặc biệt nguy hiểm khi nólàm cho Citadel khó hơn nhiều để dò tìm ra và cho phépcác phần mềm độc hại lan truyền qua các hệ thốngnhanh hơn.

“Các lập trình viênmũ đen đứng đằng sau Trojan sắc như dao này của Quânđội Thụy Sỹ chắc chắn đang tiếp tục tinh chỉnh đồgiả mạo không gian mạng này với tính năng đổi mới vàduy nhất khác được bổ sung cho lịch trình của họ”,Limor Kessem của RSA Research Labs đã viết.

“Sự giả mạo ngàynay xảy ra trong thời gian thực, nên tốc độ là cơ bản.Chức năng sộp này cho phép những người vận hành Trojantạo ra các vụ châm web và sử dụng chúng trong thời gianthực, đẩy chúng vào các bot được chọn mà không làmphiền việc đẩy lên/tải về toàn bộ một tệp cấuhình mới”.

Citadellà một Trojan được xây dựng từ mã nguồn của TrojanZeus cũ và là một trong nhiều trojan đang được bán trêncác thị trường đen của thế giới ngầm trên không gianmạng.

Phầnmềm độc hại này hiện được biết đang được bán ítnhất trên 2 thị trường đen không gian mạng, bán lẻ vớigiá 3.391 USD.

Sựphát hiện phiên bản mới của Citadel tới trong một dịchbệnh các cuộc tấn công nhằm vào nền công nghiệp ngânhàng.

Anew version of the notorious Citadel banking Trojan has beenuncovered targeting the financial industry, as threats to the bankingworld increase.

Thereport comes on the same day thatHSBC was hit by a worldwide DDOS attack and reports that US bankAlly Financial was hit by a malicious cyber attack.

Thenew version is the sixth to be uncovered since Citadel was firstidentified in January. Security vendor RSA warned that the newversion, codenamed Rain, contains a number of new features.

Oneof the most dangerous additions to Citadel is its new dynamicconfiguration mechanism. This allows Citadel's botmasters to injectmalicious content into compromised browsers in real time.

Theability to change the botnet dynamically is particularly dangerous asit makes Citadel far more difficult to detect and allows the malwareto spread through systems more quickly.

"Theblackhat developers behind this Swiss Army knife-like Trojan aredefinitely stepping up cyberfraud fine-tuning with yet another uniqueand innovative feature added to their roster," wrote RSAResearch Labs' Limor Kessem.

"Today'sfraud happens in real time, so speed is of the essence. This niftyfunction allows Trojan operators to cre-ate web injections and usethem on the fly, pushing them to se-lected bots without the hassle ofpushing/downloading an entire new configuration file."

Citadelis a Trojan built off the older Zeus Trojan source code and is one ofmany being sold on underground cyber black markets.

Themalware is currently known to be being sold in at least two cyberblack markets, retailing for $3,391 (£2,114).

Thediscovery of the new Citadel version comes during an epidemic ofattacks targeting financial industry.

Gầnđây nhất HSBC và US Bank Ally Financial đã nói các cuộctấn công vào các mạng của họ. HSBC đã nói bị đánhvì một cuộc tấn công từ chối dịch vụ hôm thứ sáu.

Thông tin cuộc tấncông vào Ally Financial được tung ra sau khi Reuters nói ngânhàng này đã đang điều tra một lỗ thủng có khả năngsau khi dò tìm ra hoạt động không bình thường trong mạngcủa mình hôm thứ năm. Vào lúc bài này được xuất bảnthì Ally Financial còn chưa trả lời yêu cầu bình luậncủa V3.

Trướccác cuộc tấn công đó, các website của các ngân hàngBankof America, JPMorgan Chase và Wells Fargođã bị ngừng chạy mà không có giải thích nào, đượctin tưởng là do các cuộc tấn công không gian mạng gâyra.

Sựquay cuồng của các cuộc tấn công đã dẫn tới việcTrung tâm Phân tích và Chia sẻ Thông tin các Dịch vụ Tàichính (FS-ISAC) phải nâng cấp tình trạng Cố vấn Mối đedọa Không gian mạng từ Cao vừa lên Cao vào đầu tháng9.

Mostrecently HSBC and US Bank Ally Financial reported attacks on theirnetworks. HSBCreported being hit by a distributed denial of service attack onFriday.

Newsof the attack on Ally Financial broke after Reutersreported the bank was investigating a possible breach after detectingunusual activity on its network on Thursday. At the time ofpublishing Ally Financial had not responded to V3'srequest for comment.

Priorto the attacks, the Bankof America, JPMorgan Chase and Wells Fargo's websites suffered anumber of unexplained outages, believed to have been caused bycyber attacks.

Theslew of attacks led the FinancialServices Information Sharing and Analysis Center (FS-ISAC) to upgradeits Cyber Threat Advisory status f-rom Elevated to High earlier inSeptember.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com