Phần mềm đòi tiền chuộc Torrent Locker chuyển vùng hoạt động

14/07/2015 14:03

Theo báo cáo gần đây của Trend Micro, những kẻ điều khiển phần mềm đòi tiền chuộc Torrent Locker đã bắt đầu chuyển hoạt động từ Úc sang châu Âu và hiện đang nhăm nhe gửi email lừa đảo cho người dùng tại khu vực này.

Một trang web của British Gas bị làm giả để phát tán mã độcTorrent Locker

Trong lịch sử từ trước đến nay, Úc được ghi nhận là quốc gia có nhiều cuộc tấn công bởi Torrent Locker nhất, nhưng các nhà nghiên cứu bảo mật quan sát thấy các chiến dịch thư rác có đính kèm phần mềm độc hại Torrent Locker đang giảm đi trong khu vực này.

Theo Trend Micro, tội phạm mạng hiện đang tập trung hoạt động trên các quốc gia như Anh (33,48%), Thổ Nhĩ Kỳ (21.44%), Hoa Kỳ (14,60%), Italy (10,85%) và Đức (6,38%). Các quốc gia khác như Tây Ban Nha và Ba Lan cũng chịu chung số phận.

Cách thức tấn công ở những nước này không có gì khác so với tại Úc. Các nạn nhân nhận được một email tự xưng là từ một công ty dịch vụ công hoặc chuyển phát bưu kiện hướng dẫn họ tải về một tập tin từ liên kết mà tin tặc cung cấp.

Đường link URL dẫn đến một trang web giả mạo của công ty đấy và yêu cầu họ gõ một captcha nhằm tăng độ tin cậy. Một khi tập tin được tải về và khởi động, hệ thống sẽ bị nhiễm phần mềm đòi tiền chuộc Torrent Locker và nó bắt đầu mã hóa tập tin người dùng. Trend Micro cho biết thêm nhiều nạn nhân là từ ngành chăm sóc sức khỏe.

Trong quá trình phân tích chiến dịch, các nhà nghiên cứu đã phát hiện ra một loạt các trang web dùng trong các cuộc tấn công. Khoảng 800 tên miền bị xâm nhập được sử dụng để phát các hình ảnh trong email, hoặc dùng như là những trang web kết nối từ liên kết trong email. Trong khi đó, các trang web giả mạo bắt nguồn từ Nga và Thổ Nhĩ Kỳ.

Các nhà nghiên cứu quan sát thấy một số địa chỉ IP (hoạt động như là các máy C&C) được dùng trong các cuộc tấn công cùng các phần khác của phần mềm độc hại. Một trong số địa chỉ IP này đang được Trojan ngân hàng Tinba sử dụng.

Trong khi đó, một số tên miền C&C tại Nga và Pháp đã đăng ký sử dụng dịch vụ bảo mật tên miền để ẩn thông tin chi tiết về người đăng ký.

MAI KHÔI

Ý kiến bạn đọc (0)
Tên   Email

Các bài mới:
Lên đầu trang