Trojan ngân hàng trực tuyến phát triển nhanh

Onlinebanking trojan developing fast

20January 2011, 11:56

Theo:http://www.h-online.com/security/news/item/Online-banking-trojan-developing-fast-1172452.html

Bàiđược đưa lên Internet ngày: 20/01/2011

Lờingười dịch: Chúng ta đã biết tới bộcông cụ xây dựng phần mềm độc hại ZeuS từng đượccho là vua của các bộ công cụ tạo phần mềm độc hạinhằm tới các dịch vụ ngân hàng trực tuyến. Tuy nhiên,trong thời gian vài tháng trở lại đây, đã xuất hiệnmột bộ công cụ khác, được cho là sẽ canh tranh đượcvới ZeuS, đó là Carberp. “Trong khi các phiên bản đầutiên của Carberp từng rất đơn giản trong xây dựng củanó, thì những phiên bản mới hơn lại được trang bịvới một danh sách các tính năng khá ấn tượng. Nóbây giờ chạy trên tất cả các phiên bản Windows, bao gồmcả Windows 7,nơi mà, theoTrustDefender,là có khả năng làm công việc của nó mà khôngcần các quyền ưu tiên của người quản trị.Về mặt kỹ thuật thì điều này không đáng đánh dấulà đặc biệt gì - các quyền ưu tiên của người sửdụng là, ví dụ, đủ để đăng ký như một mở rộngcủa trình duyệt. Điều này có thể cho phép một Trojanđọc và sửa thậm chí các giao thông ngân hàng trựctuyến được mã hóa bằng những phương tiện của mộtcuộc tấn công 'người trong trình duyệt'”.

Bộxây dựng Trojan Carberp, mà lần đầu tiên nổi lên vàomùa thu, dường như đang nhanh chóng được phát triển,theo các báo cáo từ các nguồn, kể cả từ nhà cung cấpdịch vụ an ninh Seculert, nhà phân tích Toni Koivunen củaF-Secure đã gọi nó là ngôi sao đang lên trong thế giớiTrojan cho ngân hàng.

Trongkhi các phiên bản đầu tiên của Carberp từng rất đơngiản trong xây dựng của nó, thì những phiên bản mớihơn lại được trang bị với một danh sách các tính năngkhá ấn tượng. Nó bây giờ chạy trên tất cả các phiênbản Windows, bao gồm cả Windows 7, nơi mà, theoTrustDefender, là có khả năng làmcông việc của nó mà không cần các quyền ưu tiên củangười quản trị. Về mặt kỹ thuật thì điều nàykhông đáng đánh dấu là đặc biệt gì - các quyền ưutiên của người sử dụng là, ví dụ, đủ để đăng kýnhư một mở rộng của trình duyệt. Điều này có thểcho phép một Trojan đọc và sửa thậm chí các giao thôngngân hàng trực tuyến được mã hóa bằng những phươngtiện của một cuộc tấn công 'người trong trình duyệt'.

Carberpbây giờ cũng có thể làm sạch các hệ thống bị lâynhiễm để thắng trong bất kỳ sự cạnh tranh nào. Phiênbản mới nhất ăn cắp các dữ liệu trước cả việctruyền có sử dụng một khóa ngẫu nhiên, mà khách hàngđăng ký với máy chủ kiểm soát. Cho tới bây giờ, cácbots đã sử dụng các khóa tĩnh được mã hóa trong bảnthân chương trình - mà, tất nhiên, đã làm cho cuộc sốngdễ dàng hơn nhiều đối với các chuyên gia chống virus.

Khíacạnh thú vị nhất là việc những chức năng này đãđược bổ sung vào Carberp trong một thời gian chỉ vàitháng. Một cuộc chiến tranh thành công đối với nềntảng những người dùng của ZeuS hiện đang nổi lêntrong lĩnh vực lừa đảo ngân hàng trực tuyến, khi màcông việc phát triển trên ZeuS dường như đã dừng.Carberp và SpyEye là trong số những kẻ dẫn đầu, nhưngkhó có thể đoán trước được kết quả cuối cùng. Tuynhiên, ngày một trở nên rõ ràng hơn rằng trận chiếnmột phần được đánh nhau bằng những phương tiện đốivới các tính năng và vì thế các phiên bản Trojan phứctạp hơn bao giờ hết sẽ được mong đợi.

Trojanconstruction kit Carberp, which first emerged in the autumn, appearsto be undergoing rapid development, according to reportsf-rom sources that include security services provider Seculert.F-Secure analyst Toni Koivunen is already calling it the rising starof the banking trojan world.

Whe-rethe first versions of Carberp were very simple in their construction,newer versions are equipped with a pretty impressive list offeatures. It now runs on all versions of Windows, includingWindows 7, whe-re, accordingto TrustDefender, it is able to do its work without requiringadministrator privileges. Technically, this is not particularlyremarkable – user privileges are, for example, sufficient for it toregister as a browser extension. This would allow a trojan to readand modify even encrypted online banking traffic by means of a'man-in-the-browser' attack.

Carberpcan also now clean up infected systems to get shot of anycompetition. The latest version encrypts stolen data prior totransfer using a random key, which the client registers with thecontrol server. Until now, bots have used static keys encoded intothe program itself – which, of course, made life a lot easier foranti-virus specialists.

Themost interesting aspect is that these functions have been added toCarberp over a period of just a few months. A war of succession forZeuS' customer base is currently raging in the online banking fraudsector, since development work on ZeuS appears to have stopped.Carberp and SpyEyeare among the frontrunners, but it is difficult to predict theeventual outcome. It is, however, becoming increasingly clear thatthe battle will in part be fought by means of features and thereforeever more sophisticated trojan versions are to be expected.

(crve)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com