Terdot là trojan ngân hàng được phát triển vào giữa năm 2016 với mục đích ban đầu là thực hiện tấn công người đứng giữa, đánh cắp thông tin trên trình duyệt web của người dùng như thẻ tín dụng, thông tin đăng nhập và đưa những đoạn HTML độc hại vào trang web người dùng truy cập.
Tuy nhiên, các nhà nghiên cứu từ công ty bảo mật Bitdefender đã phát hiện ra Terdot được bổ sung tính năng mới trong các chiến dịch tấn công có chủ đích. Terdot lợi dụng các công cụ mã nguồn mở để giả mạo chứng thực SSL nhằm chiếm quyền truy cập vào các tài khoản mạng xã hội và thư điện tử, thậm chí mạo danh người dùng.
Mã độc Terdot thực hiện tấn công bằng cách sử dụng proxy người đứng giữa được tùy chỉnh cao, cho phép mã độc có thể can thiệp vào giữa bất kỳ truy cập nào của máy tính bị nhiễm. Bên cạnh đó, Terdot đã được bổ sung các tính năng cập nhật tự động, cho phép phần mềm độc hại có thể tải và thực thi các tệp theo yêu cầu của nhà điều hành.
Terdot đã nhắm mục tiêu tới các trang web ngân hàng của nhiều tổ chức Canada như Banque Nationale, PCFinancial, Desjardins, BMO (Ngân hàng Montreal) và Scotiabank,…
Terdot có thể đánh cắp tài khoản Facebook, Twitter và Gmail
Theo phân tích mới nhất, Terdot có thể nhắm mục tiêu tới các mạng xã hội bao gồm Facebook, Twitter, Google Plus, YouTube và các nhà cung cấp dịch vụ thư điện tử như Gmail, Microsoft và Yahoo Mail. Bitdefender lưu ý, phần mềm độc hại này tránh được việc thu thập dữ liệu liên quan đến VKontakte (vk.com) – mạng xã hội lớn nhất của Nga.
Nếu được nhấp chuột vào, mã độc sẽ thực thi mã JavaScript, từ đó tải và chạy các tập tin độc hại. Để tránh phát hiện, mã độc sử dụng một chuỗi các tập tin dropper, chèn mã, các trình tải về để tải mã độc Terdot theo các phần nhỏ.
Sau khi máy tính bị nhiễm, mã độc lây nhiễm vào tiến trình xử lý của trình duyệt để trực tiếp kết nối với Web proxy của chính nó, đọc truy cập của người dùng và thực hiện lây nhiễm. Mã độc cũng có thể đánh cắp thông tin xác thực bằng cách kiểm tra các yêu cầu của nạn nhân hoặc lây nhiễm Javascript độc hại vào phản hồi.
Terdot cũng có thể vượt qua những giới hạn của bảo mật tầng truyền tải (Transport Layer Security – TLS) bằng cách tạo CA riêng và tạo các chứng thực cho bất kỳ tên miền nào mà nạn nhân truy cập. Sau đó, bất kỳ dữ liệu nào mà nạn nhân gửi đến ngân hàng hoặc tài khoản mạng xã hội có thể bị Terdot chặn và sửa đổi theo thời gian thực, điều này cũng có thể cho phép nó lan truyền bằng cách đăng liên kết giả đến các tài khoản mạng xã hội khác.
Bitdefender cho biết, Terdot là một phần mềm độc hại phức tạp, dựa trên nền tảng của mã độc Zeus. Nó tập trung vào việc thu thập thông tin đăng nhập của các dịch vụ khác như mạng xã hội và dịch vụ thư điện tử. Điều này có thể biến Terdot thành một công cụ gián điệp mạng khó có thể phát hiện và xóa bỏ.