Hacker dùng dịch vụ Google để tự động hoá việc điều khiển nạn nhân

Nhóm hacker có tên Carbanak mới đây đã bị nhóm chuyên gia bảo mật phát hiện qua phương thức lây nhiễm và sử dụng dịch vụ của Google để kiểm soát các máy tính của nạn nhân

Carbanak là một trong những nhóm hacker thành công nhất, được biết đến với kỷ lục trộm một tỷ USD từ hơn 100 ngân hàng trên 30 quốc gia vào năm 2015. Hiện Carbanak nhóm này đã tiếp tục bị phát hiện.

Hacker dùng dịch vụ Google để tự động hoá việc điều khiển nạn nhân

Carbanak đã bị phát hiện dùng các dịch vụ khác nhau của Google để ra lệnh và điều khiển (Command & Control, C & C) các máy của nạn nhân bằng malware.

Các nhà ngiên từ Forcepoint Security Labs cho biết trong khi điều tra một hoạt động khai thác gửi thư lừa đảo như một file RTF đính kèm, họ đã phát hiện ra nhóm Carbanak đã hoạt động ẩn trong trang web bằng cách sử dụng dịch vụ của Google cho để điều khiển kiểm soát.

Nhà nghiên cứu bảo mật cao cấp Nicholas Griffin của Forcepoint cho biết trong một bài đăng blog: “Carbanak tiếp tục tìm kiếm các kỹ thuật ẩn danh mới để tránh bị phát hiện. Họ sử dụng Google như một kênh C&C độc lập giúp tăng khả năng thành công so với việc tạo các domain mới hoặc sử dụng các domain không danh tiếng.”

Các tài liệu RTF được phát hiện đã chèn object OLE có chứa mã VBScript (Visual Basic Script), đã liên kết với malware Carbanak từ trước, và sử dụng kỹ thuật tấn công xã hội (social engineering) để lừa nạn nhân nhấp chuột vào một hình ảnh để mở nội dung.

Các hình ảnh thực sự giấu object OLE bên trong, sau khi nạn nhân click đúp chuột hình ảnh đó, một hộp thoại sẽ mở ra yêu cầu chạy tập tin unprotected.vbe. Nếu nạn nhân chạy tập tin, malware VBScript của Carbanak sẽ bắt đầu hoạt động, và theo Forcepoint, malware này sẽ gửi và nhận lệnh từ Google Apps Script, Google Sheets và Google Forms.

Hacker dùng dịch vụ Google để tự động hoá việc điều khiển nạn nhân

Bên cạnh malware, các nhà nghiên cứu Forcepoint cũng phát hiện một module script ‘ggldr’ được mã hóa bên trong tập tin .vbe cùng với các module VBScript khác, có khả năng sử dụng dịch vụ của Google để kiểm soát.

Griffin nói: “Script ggldr sẽ gửi và nhận lệnh từ Google Apps Script, Google Sheets và Google Forms. Đối với người dùng bị nhiễm, Google Sheet sẽ tự động được tạo ra để quản lý từng nạn nhân. ”

“Việc sử dụng các dịch vụ của bên thứ ba hợp pháp như thế này cho phép kẻ tấn công ẩn danh an toàn. Không may là các dịch vụ Google thường mặc định không bị chặn, vì vậy nó sẽ tăng khả năng thành công giúp những kẻ tấn công sẽ thiết lập một công cụ điều khiển và kiểm soát.”

Các nhà nghiên cứu Forcepoint cho biết rất có thể các nhóm hacker đang sử dụng dịch vụ của Google bởi vì các dịch vụ này được phép theo mặc định ở nhiều công ty và các tổ chức, giúp các hacker dễ dàng nó dễ dàng chuyển dữ liệu và gửi hướng dẫn.

Hacker dùng dịch vụ Google để tự động hoá việc điều khiển nạn nhân

Carbanak, còn được gọi là Anunak, là một trong những tổ chức tội phạm ảo thành công nhất trên thế giới và là một nhóm có tổ chức, liên tục nâng cao kỹ chiến thuật của mình để thực hiện các hành vi phạm tội, tránh sự phát hiện của các mục tiêu tiềm năng và nhà chức trách. Nhóm này lần đầu tiên lộ diện vào năm 2015 như tội phạm tài chính, mục tiêu chủ yếu nhắm vào các tổ chức tài chính. Kể từ khi bắt đầu hoạt động vào năm 2013, Carbanak đã đánh cắp lên tới 1 tỷ USD từ hơn 100 ngân hàng trên toàn cầu.

Forcepoint đã thông báo Google về vấn đề này, và các nhà nghiên cứu của công ty đang làm việc với hãng tìm kiếm khổng lồ về việc lạm dụng đặc biệt là các dịch vụ web hợp pháp của Google.

Theo: thehackernews