Chào! Tôi đang đọc một số tin tức về an ninh mạng và gặp phải một kế hoạch thông minh mà bạn nên biết. Nó liên quan đến một trojan ngân hàng có tên Astaroth. Điều thú vị nhất về nó không phải là cách nó đánh cắp dữ liệu, mà là cách nó ẩn mình trước các chuyên gia an ninh bằng cách sử dụng các dịch vụ hợp pháp.
Nó bắt đầu như thế nào?
Đó là một điều cổ điển: bạn nhận được một email lừa đảo yêu cầu bạn tải xuống một tài liệu "quan trọng". Tệp này trông có vẻ không gây hại (ví dụ, với phần mở rộng .lnk, giống như một phím tắt), nhưng thực ra nó cài đặt phần mềm độc hại trên máy tính của bạn.
Mã độc làm gì?
Nó chạy trong nền và lặng lẽ ghi lại mọi thứ bạn gõ (điều này được gọi là keylogging). Mục tiêu chính của nó là thông tin đăng nhập và mật khẩu của bạn cho tài khoản ngân hàng và ví tiền điện tử. Sau đó, nó gửi tất cả dữ liệu này trở lại cho những kẻ tấn công.
GitHub liên quan như thế nào?
Đây là phần thực sự thông minh! Những mã độc này thường được điều khiển từ một máy chủ trung tâm. Nếu cơ quan thực thi pháp luật hoặc các công ty antivirus tìm thấy và "dỡ bỏ" máy chủ đó, mã độc trở nên vô dụng. Nhưng Astaroth thì thông minh hơn.
Nó có một kế hoạch dự phòng: nó liên lạc với GitHub thông thường (một nền tảng cho các nhà phát triển lưu trữ mã)! Nhưng nó không lưu trữ virus ở đó—điều đó sẽ bị phát hiện ngay lập tức. Thay vào đó, nó chỉ giữ một tệp cấu hình nhỏ trong một kho lưu trữ GitHub. Tệp này giống như một chỉ dẫn mới: "Đội ngũ, máy chủ chính của chúng ta bị hỏng, bây giờ chúng ta hoạt động từ đây." Và mã độc nhận được địa chỉ của một máy chủ mới, hoạt động.
Như một chuyên gia từ McAfee đã nói, không phải mã độc hại chính nó, mà chỉ là một "ghi chú" với một địa chỉ mới. Điều này làm cho nó rất linh hoạt và bền bỉ.
Ai là mục tiêu chính?
Có vẻ như cuộc tấn công chính là nhằm vào người dùng ở Nam Mỹ (Brazil, Argentina, Chile, v.v.). Hơn nữa, mã độc được viết theo cách mà nếu nó "hiểu" rằng nó đang chạy trên một hệ thống ở Mỹ hoặc một quốc gia nói tiếng Anh khác, nó sẽ tự hủy để tránh bị nghiên cứu. Một tên tội phạm mạng thực thụ!
Vậy, bạn nên làm gì?
Lời khuyên là tiêu chuẩn, nhưng không kém phần quan trọng:
Đừng mở các tệp đính kèm hoặc nhấp vào các liên kết từ những người gửi không rõ danh tính.
Sử dụng phần mềm antivirus và luôn giữ nó được cập nhật.
Bật xác thực hai yếu tố ở mọi nơi bạn có thể, đặc biệt là cho ngân hàng và sàn giao dịch tiền điện tử.
Vậy đó là câu chuyện. Hóa ra ngay cả những dịch vụ hợp pháp và hữu ích như GitHub cũng có thể bị lạm dụng để gây hại. Một khúc quanh thú vị, phải không?
Bạn nghĩ sao, liệu có thực sự có một nơi nào đó an toàn trên internet nếu các hacker đã học cách ngụy trang một cách khéo léo như vậy?