Phần mềm độc hại đánh cắp thông tin là một loại phần mềm được thiết kế để thu thập thông tin nhạy cảm từ máy tính của nạn nhân. Còn được gọi là kẻ đánh cắp thông tin, kẻ đánh cắp dữ liệu hoặc phần mềm độc hại đánh cắp dữ liệu, phần mềm này đúng với tên gọi của nó: sau khi lây nhiễm vào máy tính hoặc thiết bị, nó trích xuất thông tin đăng nhập, thông tin tài chính và dữ liệu cá nhân.

Kẻ tấn công hoạt động bằng cách giám sát đầu vào bàn phím, chụp ảnh màn hình và chặn lưu lượng mạng. Bên cạnh đó cũng có thể tìm kiếm một ổ cứng cho các loại dữ liệu cụ thể. Thông tin bị đánh cắp sau đó được chuyển đến máy chủ chỉ huy và kiểm soát (C2C) của kẻ tấn công để khai thác thêm.

Phần mềm độc hại đánh cắp thông tin người dùng đã trở lên phổ biến đối với các mạng tội phạm ngầm. Với việc các phần mềm ransomware đang phát triển mạnh, phần mềm độc hại đánh cắp thông tin cũng gia tăng. Thêm vào đó, các dịch vụ đánh cắp thông tin cho các cuộc tấn công gian lận tài chính có sẵn trên dark web với giá chỉ 200 đô la mỗi tháng.

Mặc dù loại phần mềm độc hại này đã tồn tại dưới một số hình thức trong hơn hai thập kỷ, Trojan ZeuS cho đến nay là một trong những kẻ đánh cắp thông tin có ảnh hưởng nhất trong khung thời gian đó. Vậy lịch sử của những kẻ đánh cắp thông tin và loại mối đe dọa này ảnh hưởng đến an ninh mạng như thế nào?

Kẻ đánh cắp thông tin đầu tiên là gì?

Một trong những ví dụ sớm nhất được biết đến về một cuộc tấn công đánh cắp thông tin thành công là virus Melissa vào năm 1999. Melissa lây lan nhanh chóng thông qua việc sử dụng các macro Microsoft Word bị nhiễm. Virus này xuất hiện dưới dạng một email với một tài liệu đính kèm có tên là “list.doc”.

Khi người nhận mở tệp đính kèm, virus sẽ lây nhiễm vào máy tính của nạn nhân và tiếp tục lây lan. Nó tự sao chép bằng cách gửi email bị nhiễm đến 50 địa chỉ liên hệ đầu tiên trong sổ địa chỉ Microsoft Outlook. Các chuyên gia phân loại Melissa là một kẻ đánh cắp thông tin bởi vì, ngoài hành vi giống như con virus, nó còn truy cập vào sổ địa chỉ email của nạn nhân và thu thập địa chỉ email. Điều đáng chú ý là Melissa chủ yếu là một con sâu tự sao chép. Khả năng đánh cắp thông tin là một tính năng phụ. Các tác nhân đe dọa thiết kế phần mềm độc hại đánh cắp thông tin gần đây hơn với mục đích chính là đánh cắp thông tin nhạy cảm, thường với mục tiêu gian lận tài chính hoặc tống tiền.

Thu thập thông tin từ máy tính bị nhiễm là dấu hiệu của phần mềm độc hại đánh cắp thông tin. Tuy nhiên, điều đáng chú ý là Melissa chủ yếu là một virus tự sao chép còn khả năng đánh cắp thông tin là một tính năng phụ. Các tác nhân đe dọa thiết kế phần mềm độc hại đánh cắp thông tin gần đây hơn với mục đích chính là đánh cắp thông tin nhạy cảm, thường với mục tiêu gian lận tài chính hoặc tống tiền.

Trình đánh cắp thông tin Trojan ZeuS

Được phát hiện lần đầu tiên vào năm 2007, phần mềm độc hại trojan ZeuS đã trở thành một trong những kẻ đánh cắp thông tin phổ biến nhất từ trước đến nay. Mục tiêu chính của phần mềm độc hại là đánh cắp thông tin đăng nhập ngân hàng trực tuyến. ZeuS đã sử dụng nhiều kỹ thuật khác nhau, bao gồm keylogging và lấy biểu mẫu  để đánh cắp thông tin nhạy cảm từ các máy tính bị nhiễm. Các tác nhân độc hại sau đó đã sử dụng thông tin bị đánh cắp đó để thực hiện chuyển khoản trái phép từ tài khoản ngân hàng của nạn nhân sang tài khoản của kẻ tấn công.

Phần mềm độc hại có thể xác định khi người dùng truy cập các trang web cụ thể, đặc biệt là các trang web liên quan đến ngân hàng và ghi lại các lần gõ phím được nhập trong quá trình đăng nhập. ZeuS cũng ảnh hưởng đến các thiết bị di động chạy Android, Symbian và Blackberry. Nó được biết đến là phần mềm độc hại đầu tiên đánh cắp Số xác thực giao dịch di động (mTANs), một loại xác thực hai yếu tố được các ngân hàng sử dụng trong các giao dịch. Các mTAN này thường là các số duy nhất, gồm 6 chữ số được gửi qua SMS.

ZeuS có nhiều phương pháp khác nhau để đánh cắp thông tin nhạy cảm. Chúng bao gồm chụp các tổ hợp phím, thu thập dữ liệu được nhập vào biểu mẫu web, chụp ảnh màn hình khi nhấp chuột và thực hiện các cuộc tấn công man-in-the-browser (MiTB). Các cuộc tấn công MiTB thao túng các biểu mẫu web để yêu cầu thông tin cá nhân như số an sinh xã hội hoặc mã PIN ngân hàng.

ZeuS đánh dấu một bước ngoặt quan trọng trong sự phát triển của những kẻ đánh cắp thông tin và chứng minh sự tinh vi ngày càng tăng của chúng. Kể từ đó, nhiều kẻ đánh cắp thông tin khác đã được phát hiện, bao gồm SpyEye, Citadel và Emotet, tiếp tục được sử dụng để gian lận tài chính trên quy mô lớn.

Other Famous Info Stealers

Kẻ tấn công thường lợi dụng email lừa đảo, liên kết độc hại, tệp đính kèm, tải xuống phần mềm bị nhiễm hoặc lỗ hổng phần mềm chưa được vá. Những kẻ tấn công sử dụng chúng cho các mục đích khác nhau, chẳng hạn như đánh cắp danh tính, gian lận tài chính hoặc bán thông tin nhạy cảm trên thị trường chợ đen.

Các sự cố đánh cắp thông tin quan trọng khác kể từ khi Melissa và ZeuS xuất hiện bao gồm:

  1. SpyEye: Một trojan ngân hàng hoạt động từ năm 2009 đến 2012. Nó đánh cắp thông tin cá nhân và thông tin tài chính của nạn nhân thông qua web injects, ghi nhật ký thao tác bàn phím và lấy cắp thẻ tín dụng. Sau đó, tội phạm sau đó đã truyền dữ liệu bị đánh cắp đến các máy chủ C2C để thực hiện hành vi gian lận.
  2. Conficker: Một loại virus lây lan nhanh chóng trên các mạng máy tính bắt đầu từ năm 2008 và lấy cắp thông tin nhạy cảm, bao gồm thông tin đăng nhập và thông tin cá nhân. Conficker báo cáo đã lây nhiễm 10 triệu máy tính.
  3. CryptoLocker: Một biến thể ransomware từ năm 2013 đã mã hóa các tệp trên máy tính của nạn nhân và yêu cầu thanh toán để đổi lấy khóa giải mã.
  4. GameOver Zeus: Một biến thể của ZeuS mà các tác nhân độc hại đã sử dụng để đánh cắp thông tin đăng nhập ngân hàng và phân phối các loại phần mềm độc hại khác, bao gồm cả ransomware.
  5. Emotet: Một Trojan ngân hàng được phát hiện vào năm 2014 đã được sử dụng trong nhiều cuộc tấn công quy mô lớn nhằm đánh cắp thông tin tài chính từ các cá nhân và doanh nghiệp. Bộ An ninh Nội địa Hoa Kỳ ước tính chi phí  rơi vào khoảng một triệu đô la Mỹ cho mỗi sự cố.

Tác động của ZeuS và những kẻ đánh cắp thông tin đối với an ninh mạng

Sự gia tăng của những cuộc tấn công đánh cắp thông tin đã dẫn đến sự thay đổi trọng tâm của các nỗ lực an ninh mạng theo hướng bảo vệ chống lại hành vi trộm cắp dữ liệu thay vì chỉ bảo vệ chống lại phần mềm độc hại và các dạng phần mềm độc hại khác. Điều này dẫn đến việc áp dụng rộng rãi các phương pháp xác thực mạnh mẽ, chẳng hạn như xác thực hai yếu tố và tăng đầu tư vào các công nghệ bảo mật. Bên cạnh đó, sự gia tăng này đã làm tăng sự tập trung vào việc tạo ra các hệ thống thanh toán an toàn. Kể từ đó, các ngân hàng đã triển khai các biện pháp bảo mật trực tuyến mạnh mẽ hơn, chẳng hạn như tăng cường khả năng phát hiện gian lận và cải thiện mã hóa.

Vậy làm thế nào để ngăn chặn các cuộc tấn công đánh cắp thông tin?

Một số bước phổ biến mà các công ty đã thực hiện để bảo vệ chống lại phần mềm độc hại ZeuS bao gồm:

  1. Cài đặt phần mềm diệt virus: Các công ty đã cài đặt và cập nhật thường xuyên phần mềm diệt virus để phát hiện và ngăn chặn sự lây lan của ZeuS.
  2. Sử dụng tường lửa: Tường lửa hiệu quả chặn truy cập trái phép vào mạng máy tính của họ để ngăn chặn sự lây nhiễm ZeuS.
  3. Sử dụng Application Whitelisting: Application Whitelisting chỉ cho phép các ứng dụng được phê duyệt chạy trên máy tính của họ, giúp ngăn chặn việc thực thi phần mềm độc hại.
  4. Cập nhật phần mềm thường xuyên: Các công ty luôn cập nhật tất cả phần mềm, bao gồm cả hệ điều hành và ứng dụng, để ngăn chặn ZeuS và các phần mềm độc hại khác khai thác lỗ hổng trong phần mềm lỗi thời
  5. Giáo dục người dùng: Các tổ chức cần giáo dục người dùng về sự nguy hiểm của phần mềm độc hại và cách tránh trở thành nạn nhân của loại tấn công này. Điều này bao gồm đào tạo người dùng thận trọng khi mở tệp đính kèm từ các nguồn không xác định và sử dụng các mạng Wi-Fi công cộng.
  6. Phân đoạn mạng: Việc tách biệt thông tin và hệ thống nhạy cảm khỏi phần còn lại của mạng đã giúp ngăn chặn phần mềm độc hại truy cập thông tin nhạy cảm.

Theo Security Intelligence