Tin tặc sử dụng dịch vụ Google để tự động hoá việc điều khiển nạn nhân

12:12 | 16/02/2017

Mới đây, các chuyên gia bảo mật Forcepoint Security Labs đã phát hiện ra hoạt động của nhóm tin tặc Carbanak qua một số dịch vụ của google.

Carbanak là một trong những nhóm tin tặc nổi tiếng (còn được gọi là Anunak), được biết đến với “thành tích” đánh cắp 1 tỷ USD từ hơn 100 ngân hàng trên 30 quốc gia vào năm 2015. Đây là một trong những tổ chức tội phạm không gian mạng hoạt động có tổ chức, liên tục nâng cao kỹ năng, chiến thuật của mình để thực hiện các hành vi phạm tội, tránh sự phát hiện của các mục tiêu tiềm năng và nhà chức trách. 

Hiện Carbanak đã bị phát hiện qua việc sử dụng các dịch vụ khác nhau của Google để lây nhiễm và điều khiển (C&C) các máy của nạn nhân bằng  mã độc.

Các nhà nghiên từ Forcepoint Security Labs cho biết, trong khi điều tra một hoạt động khai thác gửi thư lừa đảo như một file RTF đính kèm, họ đã phát hiện ra nhóm Carbanak đã hoạt động ẩn trong trang web bằng cách sử dụng dịch vụ của Google.



Nhà nghiên cứu bảo mật cao cấp Nicholas Griffin của Forcepoint cho biết: “Carbanak tiếp tục tìm kiếm các kỹ thuật ẩn danh mới để tránh bị phát hiện. Họ sử dụng Google như một kênh C&C độc lập, giúp tăng khả năng thành công so với việc tạo các domain mới hoặc sử dụng các domain không không có danh tiếng và không tin cậy”.

Các tài liệu RTF được phát hiện đã chèn object OLE có chứa mã VBScript (Visual Basic Script) đã liên kết với mã độc Carbanak từ trước và sử dụng tấn công Kỹ nghệ xã hội để lừa nạn nhân nhấp chuột vào một hình ảnh và truy cập nội dung.

Sau khi nạn nhân nhấp đúp chuột hình ảnh đó, một hộp thoại sẽ mở ra yêu cầu chạy tập tin unprotected.vbe. Nếu nạn nhân chạy tập tin, mã độc VBScript của Carbanak sẽ bắt đầu hoạt động. Mã độc này sẽ gửi và nhận lệnh từ Google Apps Script, Google Sheets và Google Forms.

Bên cạnh mã độc, các nhà nghiên cứu Forcepoint cũng phát hiện một môđun script “ggldr” được mã hóa bên trong tập tin .vbe cùng với các môđun VBScript khác, có khả năng sử dụng dịch vụ của Google để kiểm soát. Script ggldr sẽ gửi và nhận lệnh từ Google Apps Script, Google Sheets và Google Forms. Đối với người dùng bị nhiễm, Google Sheet sẽ tự động được tạo ra để quản lý từng nạn nhân. 



Việc sử dụng các dịch vụ của bên thứ ba hợp pháp cho phép kẻ tấn công ẩn danh an toàn. Không may là các dịch vụ Google thường mặc định không bị chặn, vì vậy nó sẽ tăng khả năng thành công giúp những kẻ tấn công sẽ thiết lập một công cụ điều khiển và kiểm soát.

Forcepoint đã thông báo cho Google về vấn đề này và các nhà nghiên cứu của công ty đang làm việc với Hãng về việc lạm dụng các dịch vụ, đặc biệt là các dịch vụ web hợp pháp của Google.