TorrentLocker lựa chọn mục tiêu ngày càng tinh vi

21/09/2015 16:28

Báo cáo phân tích của Trend Micro cho thấy rằng các email dùng để dụ nạn nhân dường như được gửi đến một danh sách email lựa chọn rất cẩn thận và có ít hơn 1 % trong số đó gửi đến những email không hợp lệ.

Những kẻ spam dùng ransomware đòi tiền chuộc TorrentLocker rất thành thạo trong việc lựa chọn những “con mồi” béo bở đến mức các email độc hại gửi đến những nạn nhân này được đánh dấu nổi bật thường xuyên hơn email gửi bởi các công ty phần mềm hợp pháp và tiếp thị chuyên nghiệp.

Số liệu thống kê cho thấy TorrentLocker khá tinh vi, trong khi đấy, các công ty viễn thông và phần mềm gửi nhiều email hơn đến các địa chỉ không tồn tại. Ngay cả email của các công ty tiếp thị và quảng cáo cũng gửi đến 0,88% email không có thực.

Nghiên cứu của Trend Micro cũng chỉ ra rằng khoảng 60% nạn nhân của TorrentLocker đến từ Úc, có lẽ do một chiến dịch trong tháng 5 đã đưa ra "bằng chứng" về một vé tăng tốc ban hành bởi Cảnh sát Liên bang Úc.

Hãng bảo mật cũng cảnh báo rằng ransomware này đang ngày càng nhắm mục tiêu vào các doanh nghiệp.


Torrentlocker đang sử dụng các thủ thuật xác minh và luồn lách chuẩn để tránh phần mềm diệt virus và đảm bảo nạn nhân thực sự bị mắc kẹt. "Một khung CAPTCHA yêu cầu người dùng nhập chữ hoặc số, tạo cơ hội cho tội phạm mạng xác định có người thực sự đang sử dụng hệ thống bị lây nhiễm. Ngoài ra, sandbox và kỹ thuật lẩn tránh dịch vụ web reputation (phát hiện mã độc) đã cho phép TorrentLocker phát hiện các cơ chế giệt virus - thường dò ra phần mềm độc hại tự động tải về máy người dùng (drive-by-download). TorrentLocker cũng lấy bất kì tên script dùng trên những máy chủ bị tấn công. Một ví dụ về cách TorrentLocker lẩn tránh web reputation là khả năng ghi thông tin rất nhanh. Dịch vụ web này chạy trên cùng máy chủ như dịch vụ DNS. Vậy nên khi máy chủ bị sập thì cả hai dịch vụ đều bị đóng", đại diện Trend Micro giải thích.

TorrentLocker và Cryptowall được nhiều người coi là "kẻ tàn sát nhất" trong gia đình ransomware với hầu hết các biến thể không có lỗ hổng khi thực hiện mã hóa để người dùng có thể khai thác và khôi phục lại dữ liệu mà không cần phải chi trả.

MAI KHÔI

Ý kiến bạn đọc (0)
Tên   Email

Các bài mới:
Lên đầu trang