Roaming Mantis tấn công châu Á

16:3023/04/2018

(ĐTTD) Tiếp tục là tâm điểm của các cuộc tấn công, châu Á vừa bị các chuyên gia của Kaspersky Lab đưa ra lời cảnh báo khi hàng loạt phần mềm độc hại Roaming Mantis thông qua DNSa bị phát hiện.

Phần mềm độc hại này đang hoạt động rất mạnh mẽ, nó được thiết kế để đánh cắp thông tin người dùng và trao quyền kiểm soát thiết bị hoàn toàn cho kẻ tấn công. Báo cáo từ các chuyên gia của Kaspersky Lab cũng cho biết, kể từ tháng 2 đến tháng 4 năm nay, các nhà nghiên cứu đã phát hiện Roaming Mantis trên hơn 150 mạng lưới, chủ yếu ở Hàn Quốc, Bangladesh và Nhật Bản và các nhà nghiên cứu tin rằng tội phạm mạng đang tìm cách kiếm tiền từ hoạt động này.

 “Hoạt động của nhóm này đã được báo chí tại Nhật Bản đưa tin, nhưng khi chúng tôi bắt đầu nghiên cứu, chúng tôi phát hiện ra rằng nó không xuất phát ở Nhật Bản. Trên thực tế, chúng tôi đã tìm thấy một loạt chứng cứ cho thấy hacker đứng sau nhóm này nói tiếng Trung hoặc tiếng Hàn. Hơn nữa, phần lớn nạn nhân cũng không tập trung ở Nhật Bản. Việc Roaming Mantis tập trung vào Hàn Quốc và Nhật Bản có vẻ là để kiếm tiền”. Ông Vitaly Kamluk, Trưởng nhóm Nghiên cứu & Phân tích Toàn cầu khu vực APAC, Kaspersky Lab chia sẻ.

Kết quả nghiên cứu cũng cho thấy kẻ đứng sau phần mềm độc hại đang tìm kiếm lỗ hổng trên bộ định tuyến và phát tán phần mềm độc hại theo cách đơn giản nhưng cực kì hiệu: chiếm quyền kiểm soát DNS của các bộ định tuyến đã bị lây nhiễm. Phương pháp thực hiện vẫn còn là ẩn số. Nhưng một khi DNS bị chiếm quyền kiếm soát, mọi cố gắng truy cập từ người dùng đều dẫn họ đến đường link thể hiện nội dung từ máy chủ của kẻ tấn công “Để trải nghiệm trình duyệt tốt hơn, vui lòng cập nhật phiên bản mới nhất”. Và khi click vào đường link, tập tin có tên facebook.apk’ hoặc ‘chrome.apk’ sẽ xuất hiện để người dùng cài đặt. Đây chính là nơi chứa backdoor Android từ hacker.

Roaming Mantis kiểm tra xem thiết bị có được root hay không và yêu cầu quyền được thông báo về bất kỳ hoạt động liên lạc hoặc duyệt web nào do người dùng thực hiện. Nó cũng có khả năng thu thập một loạt các dữ liệu, bao gồm cả thông tin xác thực cho xác thực hai yếu tố. Các nhà nghiên cứu nhận thấy rằng một số mã phần mềm độc hại bao gồm các tham chiếu đến ngân hàng di động và ID ứng dụng trò chơi phổ biến ở Hàn Quốc. Những dữ liệu này cho thấy mục đích của chiến dịch này là để kiếm tiền.

Đã có khoảng 150 mục tiêu đã được phát hiện, và hàng ngàn kết nối tấn công vào các máy chủ C&C của kẻ tấn công hàng ngày, bị dữ liệu Kaspersky Lab phát hiện.

Bằng cách:

-Tham khảo hướng dẫn sử dụng bộ định tuyến của bạn để xác minh rằng cài đặt DNS của bạn chưa bị can thiệp hoặc liên hệ với ISP của bạn để được hỗ trợ.

-Thay đổi tên đăng nhập và mật khẩu mặc định cho giao diện web quản trị của bộ định tuyến.

-Không bao giờ cài đặt phần mềm bộ định tuyến từ các nguồn của bên thứ ba. Tránh sử dụng kho lưu trữ của bên thứ ba cho thiết bị Android của bạn.

-Thường xuyên cập nhật firmware bộ định tuyến từ nguồn chính thức.

Có thể dễ dàng phát hiện Roaming Mantis dưới tên Trojan-Banker.AndroidOS.Wroba

ĐTTD





Gửi nhận xét về bài viết:
Họ tên:    Email:
Nội dung:
  • DTTD