Lừa đảo malware bằng cách sử dụng reCAPTCHA của Google

Email lừa đảo nhắm mục tiêu người dùng của ngân hàng có phần mềm độc hại – và làm cho trang đích của họ trông hợp pháp hơn với các reCAPTCHA giả mạo của Google.

Một phi vụ lừa đảo được phát hiện gần đây đã được tìm thấy phần mềm độc hại bán lẻ, sử dụng một kỹ thuật mới để che giấu trang đích độc hại của nó: Một hệ thống Google reCAPTCHA giả mạo.

Chiến dịch nhắm vào một ngân hàng Ba Lan và người dùng của nó bằng email, các nhà nghiên cứu của Sucuri cho biết. Những email này chứa liên kết đến tệp PHP độc hại, cuối cùng đã tải phần mềm độc hại BankBot lên hệ thống của nạn nhân.

Phần mềm độc hại ngân hàng nhắm mục tiêu Android này, được phát hiện lần đầu tiên vào năm 2016, là một trojan ngân hàng Android được điều khiển từ xa có khả năng đánh cắp các chi tiết ngân hàng bằng cách mạo danh các ứng dụng ngân hàng, xem tin nhắn văn bản và hiển thị thông báo đẩy không được yêu cầu. Trong trường hợp cụ thể này, BankBot đã tìm kiếm nhiều dữ liệu riêng tư khác nhau, bao gồm SMS và nhật ký cuộc gọi, danh bạ và địa điểm, các nhà nghiên cứu cho biết.

Trong một cuộc điều tra gần đây, chúng tôi đã phát hiện ra một tập tin độc hại liên quan đến một chiến dịch lừa đảo nhắm vào một ngân hàng Ba Lan, theo ông Luke Leak với Sucuri, trong một phân tích hôm thứ Năm . Chiến dịch này sử dụng cả kỹ thuật mạo danh và hoảng loạn / mồi trong email để dụ nạn nhân tải xuống phần mềm độc hại ngân hàng.

Các email đã yêu cầu các nạn nhân xác nhận cho một giao dịch gần đây, cùng với một liên kết đến một tệp PHP độc hại. Các nhà nghiên cứu cho biết, người dùng của ngân hàng nhìn thấy email có thể sẽ bị báo động rằng họ đang yêu cầu xác nhận một giao dịch không xác định, khiến họ nhấp vào liên kết độc hại.

Điều này làm cho nó độc đáo hơn một chút so với nội dung lừa đảo mà chúng ta thường thấy, thường bao gồm một trình gửi thư PHP và (các) tệp được sử dụng để xây dựng trang lừa đảo, Leak nói. Hầu hết các trường hợp, đó chỉ là một bản sao của trang đăng nhập cho bất kỳ tổ chức nào họ đang nhắm mục tiêu.

Khi các nạn nhân nhấp vào liên kết, tệp PHP độc hại sẽ gửi cho họ một trang lỗi 4044 giả mạo. Mã PHP sau đó đã tải một reCAPTCHA giả mạo của Google bằng cách sử dụng kết hợp các yếu tố HTML và JavaScript. reCAPTCHA  là cơ chế xác thực của Google được sử dụng để phân biệt các bot với người dùng trang web thực sự.

Các reCAPTCHA giả trông thật và khiến nạn nhân cảm thấy như thể trang đích là hợp pháp, các nhà nghiên cứu cho biết.

Trang này thực hiện công việc tốt trong việc sao chép giao diện reCAPTCHA của Google, nhưng vì nó phụ thuộc vào các yếu tố tĩnh, nên các hình ảnh sẽ luôn giống nhau trừ khi mã hóa tệp PHP độc hại bị thay đổi, Leak nói. Tuy nhiên nó không hỗ trợ phát lại âm thanh, không giống như phiên bản thật.

Mã PHP sau đó xác định dạng phần mềm độc hại nào để tải xuống trên thiết bị của nạn nhân. Nếu nạn nhân sử dụng Android, nó sẽ thả một .apk độc hại và nếu không, nó đã tải xuống một trình thả .zip.

Bên cạnh, Bank BankBot, phần mềm độc hại trên Android cũng được gắn nhãn là Bank Banker, và phần mềm quảng cáo trực tuyến trên VirusTotal bằng các chương trình chống vi-rút khác nhau.

“Ngay sau khi phát hiện các ứng dụng trojan độc hại với BankBot trên Google Play vào đầu năm 2017, chúng tôi đã khẳng định rằng các ứng dụng độc hại được lấy từ mã nguồn được công bố trên các diễn đàn ngầm trong tháng 12 năm 2016”, ông nghiên cứu ESET, trong một phân tích Ngân hàng . Sự sẵn có công khai của mã đã dẫn đến sự gia tăng cả về số lượng và độ tinh vi của trojan ngân hàng di động.

Lừa đảo đã  tiếp tục  đẩy mạnh trò chơi của họ trong năm qua, với các diễn viên xấu liên tục cập nhật các phương pháp của họ để trở nên tinh vi hơn. Điều đó bao gồm sử dụng các chiến thuật mới như  Google Dịch hoặc   phông chữ tùy chỉnh  để làm cho những trò gian lận có vẻ hợp pháp hơn.

Leak cho biết loại chiến dịch lừa đảo này có thể sinh ra các lỗi nghiêm trọng cho chủ sở hữu trang web.

Các thư mục độc hại được sử dụng trong các chiến dịch này được tải lên một trang web sau khi nó bị xâm nhập, Leak nói. Tuy nhiên, khi xử lý loại phần mềm độc hại này, điều quan trọng là phải xóa các tệp có trong đơn khiếu nại; chúng tôi đặc biệt khuyến khích các quản trị viên quét tất cả các tệp và cơ sở dữ liệu trang web hiện có khác để tìm phần mềm độc hại. Bạn cũng sẽ muốn cập nhật tất cả mật khẩu của mình để ngăn chặn những kẻ tấn công truy cập lại vào môi trường.

Leave a Comment