TorrentLocker lựa chọn mục tiêu ngày càng tinh vi
21/09/2015 16:28
Báo cáo phân tích của Trend Micro cho thấy rằng các email dùng để dụ nạn nhân dường như được gửi đến một danh sách email lựa chọn rất cẩn thận và có ít hơn 1 % trong số đó gửi đến những email không hợp lệ.

Những
kẻ spam dùng ransomware đòi tiền chuộc TorrentLocker rất thành thạo trong việc
lựa chọn những “con mồi” béo bở đến mức các email độc hại gửi đến những nạn
nhân này được đánh dấu nổi bật thường xuyên hơn email gửi bởi các công ty phần
mềm hợp pháp và tiếp thị chuyên nghiệp.
Số
liệu thống kê cho thấy TorrentLocker khá tinh vi, trong khi đấy, các công ty
viễn thông và phần mềm gửi nhiều email hơn đến các địa chỉ không tồn tại. Ngay
cả email của các công ty tiếp thị và quảng cáo cũng gửi đến 0,88% email không
có thực.
Nghiên
cứu của Trend Micro cũng chỉ ra rằng khoảng 60% nạn nhân của TorrentLocker đến
từ Úc, có lẽ do một chiến dịch trong tháng 5 đã đưa ra "bằng chứng"
về một vé tăng tốc ban hành bởi Cảnh sát Liên bang Úc.
Hãng
bảo mật cũng cảnh báo rằng ransomware này đang ngày càng nhắm mục tiêu vào các
doanh nghiệp.
Torrentlocker đang sử dụng các thủ thuật xác minh và
luồn lách chuẩn để tránh phần mềm diệt virus và đảm bảo nạn nhân thực sự bị mắc
kẹt. "Một khung CAPTCHA yêu cầu
người dùng nhập chữ hoặc số, tạo cơ hội cho tội phạm mạng xác định có người
thực sự đang sử dụng hệ thống bị lây nhiễm. Ngoài ra, sandbox và kỹ thuật lẩn
tránh dịch vụ web reputation (phát hiện mã độc) đã cho phép TorrentLocker phát
hiện các cơ chế giệt virus - thường dò ra phần mềm độc hại tự động tải về máy
người dùng (drive-by-download). TorrentLocker cũng lấy bất kì tên script dùng
trên những máy chủ bị tấn công. Một ví dụ về cách TorrentLocker lẩn tránh web
reputation là khả năng ghi thông tin rất nhanh. Dịch vụ web này chạy
trên cùng máy chủ như dịch vụ DNS. Vậy nên khi máy chủ bị sập thì cả hai dịch
vụ đều bị đóng", đại diện Trend Micro giải thích.
TorrentLocker và Cryptowall được nhiều người coi là
"kẻ tàn sát nhất" trong gia đình ransomware với hầu hết các biến thể không có lỗ
hổng khi thực hiện mã hóa để người dùng có thể khai thác và khôi phục lại dữ
liệu mà không cần phải chi trả.
MAI
KHÔI
dùng,
không có,
người,
cho phép,
những,
tấn công,
máy,
lựa chọn,
nạn nhân,
phần mềm độc hại,