Chủ đề

Panda Banker nhắm mục tiêu tổ chức tài chính toàn cầu

(Không gian mạng) - Ngày 09/05, hãng bảo mật F5 (Mỹ) báo cáo phát hiện các chiến dịch mã độc Panda Banker đang nhắm vào các tổ chức tài chính trên toàn thế giới, nhất là Mỹ.

panda-banker_en

Panda Banker được thấy lần đầu trong năm 2016. Đây là mã độc được xây dựng dựa trên mã nguồn bị rò rỉ của Trojan ngân hàng khét tiếng Zeus và từng tham gia vào nhiều chiến dịch lây nhiễm trên toàn cầu.

Được rao bán như một bộ công cụ trên các diễn đàn ngầm, Panda thực thi tấn công man-in-the-browser và webinject để đánh cắp thông tin đăng nhập của người dùng.

Trong lịch sử, Panda Banker được sử dụng để nhắm mục tiêu các tổ chức tài chính ở Ý, Canada, Úc, Đức, Mỹ và Anh, và cũng bắt đầu nhắm vào Nhật Bản từ đầu năm 2018.

Theo báo cáo của F5, ngoài Nhật Bản vẫn tiếp tục bị tấn công, mã độc này cũng nhắm mục tiêu người dùng ở Mỹ, Canada và Mỹ Latinh.

Vào tháng 2, mã độc nhắm mục tiêu các dịch vụ tài chính và các trang web tiền ảo ở Ý bằng cách chụp màn hình, có khả năng để “ghi lại và do thám tương tác của người dùng tại các tài khoản tiền điện tử”.

Vào tháng 05, 03 chiến dịch Panda Banker khác nhau đã được phát hiện, mỗi chiến dịch tập trung vào một vùng địa lý.

Một trong số đó tấn công 8 ngành công nghiệp ở Bắc Mỹ, với 78% mục tiêu là các tổ chức tài chính Mỹ. Các tổ chức tài chính Canada, các trang web tiền điện tử, các nhà cung cấp truyền thông xã hội toàn cầu, các nhà cung cấp dịch vụ tìm kiếm và email, bảng lương, giải trí và các nhà cung cấp công nghệ cũng bị nhắm mục tiêu.

“Chiến dịch này cũng nhắm mục tiêu các nền tảng truyền thông xã hội lớn như Facebook và Instagram, cũng như các ứng dụng nhắn tin như Skype và các nền tảng giải trí như Youtube. Ngoài ra, Panda cũng nhắm mục tiêu Microsoft.com, bing.com và msn.com”, theo báo cáo của F5.

Chiến dịch thứ 2 hoạt động với botnet Panda được đánh dấu 2.6.8, cũng nhắm mục tiêu các tổ chức tài chính Nhật Bản. Tuy nhiên, các tác giả phần mềm độc hại đã xóa các header Content Security Policy (CSP), một tiêu chuẩn bảo mật để ngăn chặn tấn công cross-site scripting (XSS), clickjacking và các tấn công injection khác có thể dẫn đến việc thực thi mã độc từ một trang web đáng tin cậy.

Một chiến dịch thứ 3 của nhóm diễn ra song song nhưng tấn công Mỹ Latinh, tập trung vào các ngân hàng ở Argentina, Columbia và Ecuador, cùng các phương tiện truyền thông xã hội, tìm kiếm, email, giải trí và nhà cung cấp công nghệ.

F5 kết luận các chiến dịch đồng thời nhắm vào một số khu vực trên thế giới và ngành công nghiệp cho thấy đây là những tin tặc rất chủ động và sẽ còn tiếp tục nhiều chiến dịch mới.

Lâm Quang Dũng (Lược dịch từ: Security Week)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@tolam.org
Thích và chia sẻ bài này trên: