Gozi - "Làn Sóng Tấn Công Mạng Mới Đe Dọa An Toàn Tài Chính Người Dùng Trong Dịp Black Friday 2024"
Trong đợt mua sắm Black Friday 2024, hệ thống giám sát an ninh đã ghi nhận làn sóng tấn công quay trở lại sử dụng phần mềm độc hại Gozi, nhắm vào hệ thống tài chính tại khu vực Bắc Mỹ. Cuộc tấn công này tận dụng thời điểm cao điểm mua sắm trực tuyến để thực hiện các hoạt động độc hại.
Thông tin chi tiết
- Gozi (còn gọi là Ursnif/ISFB)
Gozi, còn được biết đến với tên Ursnif và ISFB, là một trojan ngân hàng dạng mô-đun đã hoạt động từ giữa những năm 2000. Nó nổi tiếng với khả năng đánh cắp thông tin đăng nhập ngân hàng, theo dõi hoạt động của người dùng và thực hiện các web-inject nâng cao trong các phiên giao dịch ngân hàng trực tuyến. Qua nhiều năm, nó đã phát triển để bao gồm các tính năng như cơ chế chống gỡ lỗi và truyền thông mã hóa và cũng được sử dụng cho các cuộc tấn công có mục tiêu vào các khu vực và tổ chức tài chính cụ thể.
Dựa vào sự gia tăng hoạt động mua sắm trực tuyến trong Black Friday như là số lượng lớn các giao dịch tài chính hoặc là ưu tiên trải nghiệm người dùng mượt mà các tổ chức có thể trì hoãn hoặc làm yếu các biện pháp bảo mật cùng với đó người tiêu dùng tập trung vội vàng săn ưu đãi mà bỏ qua các yếu tố lừa đảo có nguy cơ tấn công nguy hiểm. Chính vì những đặc điểm đấy chiến dịch phát tán mã độc Gozi đã thực hiện tấn công và thành công ở quy mô khá rộng.
Kẻ tấn công sử dụng phương thức tấn công Web-injection dùng script tiêm vào web để xâm phạm vào các phiên giao dịch ngân hàng trực tuyến. Nó động tiêm mã độc vào trang web ngân hàng hợp pháp, cho phép kẻ tấn công thao túng phiên mà nạn nhân không biết. Script độc hại hoạt động trong nền để đánh cắp dữ liệu nhạy cảm, như thông tin đăng nhập, và được thiết kế để tránh phát hiện bằng cách ngay lập tức xóa chính nó khỏi trang sau khi thực thi. Bằng cách hòa trộn với trang hợp pháp và xóa bằng chứng, cuộc tấn công trở nên gần như vô hình đối với cả người dùng và các biện pháp bảo mật truyền thống. Điều này nhấn mạnh sự tinh vi ngày càng tăng của các cuộc tấn công web-inject và nhấn mạnh nhu cầu về các hệ thống giám sát nâng cao và các biện pháp bảo mật mạnh mẽ để phát hiện và ngăn chặn các mối đe dọa như vậy.
Khu vực bị ảnh hưởng: Bắc Mỹ
Đối tượng mục tiêu: Tổ chức tài chính và người dùng dịch vụ ngân hàng trực tuyến
Thời gian phát hiện: 29/11/2024 (Black Friday)
ĐÁNH GIÁ TÁC ĐỘNG
Mức độ nguy hiểm: CAO
Nguy cơ mất thông tin tài chính
Khả năng thao túng giao dịch trực tuyến
Tốc độ lây lan nhanh
Khó phát hiện bằng các biện pháp thông thường
IOCs
| anatums[.]xyz | offertories[.]xyz | flawflower[.]xyz |
| annales[.]xyz | overgreedily[.]info | fredholms[.]info |
| anthus[.]xyz | paiks[.]info | geryoneo[.]info |
| boophiluss[.]com | percomorphis[.]xyz | gr-elta-post[.]com |
| brochant[.]info | petrovsk[.]xyz | hellenic-eltapost[.]com |
| bruneidesi[.]com | pierid[.]info | hykitoi[.]com |
| buckner[.]info | plusch[.]xyz | julolidin[.]com |
| carpogamy[.]xyz | preinviting[.]info | lehi[.]info |
| chimneys[.]info | premethodical[.]com | lyjejo[.]com |
| chunghwa-tw-post[.]com | respirabilities[.]com | mantling[.]xyz |
| chunghwapost-tw[.]com | routinized[.]info | misbeseeming[.]xyz |
| cryptometer[.]life | sdscfff[.]cyou | museographer[.]xyz |
| deleons[.]info | semiworks[.]xyz | octamerous[.]info |
| egons[.]info | sequan[.]info | oenotheraceae[.]com |
| flagrance[.]xyz | spondean[.]xyz | offertories[.]xyz |
| flawflower[.]xyz | toxunao[.]com | overgreedily[.]info |
| fredholms[.]info | tripudiated[.]xyz | paiks[.]info |
| geryoneo[.]info | tunnery[.]xyz | percomorphis[.]xyz |
| gr-elta-post[.]com | turophile[.]xyz | petrovsk[.]xyz |
| hellenic-eltapost[.]com | tuwutia[.]com | pierid[.]info |
| hykitoi[.]com | ultracold[.]live | plusch[.]xyz |
| julolidin[.]com | undiess[.]xyz | preinviting[.]info |
| lehi[.]info | universoapi[.]com | premethodical[.]com |
| lyjejo[.]com | vapoloo[.]com | respirabilities[.]com |
| mantling[.]xyz | wehowae[.]com | routinized[.]info |
| misbeseeming[.]xyz | zaremskis[.]xyz | sdscfff[.]cyou |
| museographer[.]xyz | zocypio[.]com | semiworks[.]xyz |
| octamerous[.]info | zurukai[.]comanatums[.]xyz | sequan[.]info |
| oenotheraceae[.]com | annales[.]xyz | spondean[.]xyz |
| chunghwa-tw-post[.]com | anthus[.]xyz | toxunao[.]com |
| chunghwapost-tw[.]com | boophiluss[.]com | tripudiated[.]xyz |
| cryptometer[.]life | brochant[.]info | tunnery[.]xyz |
| deleons[.]info | bruneidesi[.]com | turophile[.]xyz |
| egons[.]info | buckner[.]info | tuwutia[.]com |
| flagrance[.]xyz | carpogamy[.]xyz | ultracold[.]live |
| wehowae[.]com | chimneys[.]info | undiess[.]xyz |
| zaremskis[.]xyz | zurukai[.]com | universoapi[.]com |
| zocypio[.]com | vapoloo[.]com | picassodraw[.]site |
Khuyến nghị
Phía FPT Threat Intelligence khuyến nghị các biện pháp sau đây để phòng chống cuộc tấn công trên:
Không mở tệp đính kèm hoặc nhấp vào liên kết trong email từ nguồn không rõ ràng hoặc đáng nghi ngờ đặc biệt cẩn trọng với các email giả mạo (phishing) có thể cố gắng lừa bạn tải về phần mềm độc hại.
Tạo mật khẩu mạnh, duy nhất cho từng tài khoản trực tuyến tránh sử dụng thông tin dễ đoán và hãy cân nhắc sử dụng trình quản lý mật khẩu đáng tin cậy để lưu trữ an toàn.
Quan sát bất kỳ hành vi bất thường hoặc yêu cầu không mong muốn nào khi truy cập các trang web, đặc biệt là các nền tảng tài chính. Nếu gặp cửa sổ bật lên lạ, yêu cầu thông tin cá nhân bổ sung hoặc thay đổi bất thường trong giao diện trang web, có thể bạn đang bị tấn công bởi web-inject.
Theo dõi các mối đe dọa mới nhất và các phương pháp bảo mật tốt nhất.
Xem xét sử dụng các giải pháp như IBM Security Trusteer Pinpoint Detect để bảo vệ các kênh kỹ thuật số khỏi chiếm đoạt tài khoản và giao dịch gian lận. Công cụ này tận dụng trí tuệ nhân tạo để phát hiện thiết bị bị nhiễm phần mềm độc hại nguy hiểm.
Đối với các doanh nghiệp, tổ chức các khóa đào tạo nhận thức an ninh mạng để nhân viên hiểu và tránh các nguy cơ phổ biến, đặc biệt trong thời điểm bận rộn như Black Friday hoặc mùa lễ hội.
Thường xuyên cập nhật hệ thống và phần mềm để vá các lỗ hổng bảo mật.
Tham khảo
Black Friday chaos: The return of Gozi malware https://securityintelligence.com/posts/black-friday-chaos-return-of-gozi-malware/
Ursnif/Gozi Malware Evolution and Associated IoC https://hawk-eye.io/2022/11/ursnif-gozi-malware-evolution-and-associated-ioc/
