Chủ đề

(Không gian mạng) - Ngày 20/04, các chuyên gia nhóm bảo mật FireEye và iSight Partner của Mỹ công bố báo cáo về chiến dịch tấn công của nhóm tin tặc FIN6.

Nhóm này hoạt động từ năm 2015 và chuyên đánh cắp thông tin tài chính, chủ yếu là dữ liệu thẻ tín dụng từ các nhà bán lẻ và khách sạn.

Trong báo cáo, các nhà nghiên cứu giải thích nhóm nhắm mục tiêu chủ yếu vào các máy thanh toán POS (Point of Sale) và sử dụng hai mã độc hại nổi tiếng để hỗ trợ cho hành vi của chúng.

Nhóm bảo mật FireEye và iSight Partner của Mỹ công bố báo cáo về chiến dịch tấn công của nhóm tin tặc FIN6

Nhóm bảo mật FireEye và iSight Partner của Mỹ công bố báo cáo về chiến dịch tấn công của nhóm tin tặc FIN6

FIN6 triển khai các cuộc tấn công thông qua phương thức phát tán email rác để phân phối mã độc Grabnew, còn được gọi là Vawtrack và Neverquest.

Grabnew là một backdoor có khả năng đánh cắp thông tin và lây nhiễm mã vào các trang web cụ thể. Grabnew sẽ có nhiệm vụ thu thập thông tin đăng nhập của các máy tính bị nhiễm và các hệ thống POS rồi sau đó truyền thông tin này đến nhóm tin tặc FIN6.

FIN6 sử dụng Grabnew và Trinity

Tin tặc sau đó sử dụng thông tin này kết hợp với khả năng của Grabnew để tải về và cài đặt một mã độc khác là Trinity – một mã độc chuyên tấn công các thiết bị đầu cuối POS.

Trinity thu thập một lượng lớn dữ liệu từ hệ thống bị nhiễm, sau đó nén tất cả các dữ liệu thành tập tin ZIP để gửi đến một máy chủ trung gian và sau đó chuyển tiếp đến các máy chủ C&C của FIN6.

Các dữ liệu sau khi đánh cắp được nhóm rao bán trên “card shops” trong Dark Web (các trang web ngầm – nơi các nhóm tội phạm khác sẽ mua thông tin này để thực hiện các hoạt động gian lận tài chính).

Chỉ riêng trong một vụ xâm nhập, FIN6 đã đánh cắp dữ liệu của hơn 20 triệu thẻ tín dụng và kiếm về hơn 400 triệu USD.

Lục Lam (dịch từ news.softpedia.com)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Thích và chia sẻ bài này trên