Theo Trend Micro, phần mềm độc hại Emotet có khả năng đánh cắp dữ liệu tài khoản ngân hàng kể cả khi dùng kết nối bảo mật HTTPS.

Máy ATM và máy POS nhiều ngân hàng nhiễm mã độcMã độc đánh cắp 47 triệu USD từ ngân hàng

Emotet, loại mã độc do Hãng bảo mật Trend Micro khám phá có phương thức bắt gói dữ liệu ngay cả trên kết nối an toàn HTTPS - Ảnh: PCRisk

HTTPS là giao thức liên lạc an toàn trên môi trường mạng, nó thường được dùng trong các giao dịch trực tuyến thương mại điện tử, ngân hàng trực tuyến (online banking), email... Dấu hiệu để nhận diện kết nối Internet có đang dùng HTTPS là trình duyệt web sẽ hiển thị biểu tượng ổ khóa màu vàng (đã khóa) bên cạnh khung địa chỉ web, và địa chỉ web khởi đầu từ HTTPS:// thay vì HTTP://.

Dấu hiệu nhận diện HTTPS trên trình duyệt web - Ảnh: Internet

Trước đây, khi bị phần mềm độc hại thâm nhập máy tính, người dùng có thể nhận ra qua các dấu hiệu thường gặp như bất ngờ xuất hiện các trang web lạ (website lừa đảo) do tội phạm mạng dựng lên để đánh lừa nạn nhân. Bên cạnh đó, trong bản sao kê giao dịch ngân hàng của nạn nhân cũng xuất hiện thêm các giao dịch của tội phạm mạng, gây tổn thất.

Emotet không theo cách này, nó đánh cắp dữ liệu tài khoản ngân hàng ngay cả khi nạn nhân đang sử dụng kết nối an toàn HTTPS, bằng cách bắt gói các dữ liệu được gửi từ trình duyệt người dùng đến máy chủ web, dịch vụ ngân hàng. Hình dung đơn giản về cách hoạt động của Emotet, khi bạn chuyển thư giao dịch đến ngân hàng, Emotet sẽ đứng trước cửa nhà và sao chụp lại toàn bộ nội dung gửi đi, cho dù người giao thư rất đáng tin cậy.

Theo các nhà nghiên cứu từ Hãng bảo mật Trend Micro, người dùng ở Đức đặc biệt gặp nguy hiểm bởi loạt phần mềm độc hại này, không những vậy, các vùng còn lại của khu vực EMEA (châu Âu, Trung Đông và châu Phi), Bắc Mỹ và khu vực châu Á - Thái Bình Dương cũng bị tấn công.

Các biến thể phần mềm độc hại này phát tán tại Đức qua thông báo chuyển khoản ngân hàng hoặc hoá đơn vận chuyển giả mạo. Khi nhấp vào liên kết, người dùng không hề hay biết đã tải về phần mềm độc hại.

Khi đã thâm nhập, chúng kết nối về máy chủ C&C (Ra lệnh & Điều khiển) do tội phạm mạng quản lý, tải về các thành phần bổ sung chức năng để chúng hoàn thiện hơn, bao gồm file cấu hình chứa thông tin về các ngân hàng mà chúng nhắm đến.

Theo giải thích từ chuyên gia bảo mật tại tại Trend Micro: "Một file nữa cũng được tải về trong quá trình này là tập tin thư viện động .DLL, thực hiện việc theo dõi, chặn và đăng nhập vào hệ thống mạng của nạn nhân. Khi lây nhiễm vào trình duyệt, tập tin DLL này so sánh các trang web truy cập với các chuỗi chứa trong file cấu hình tải về trước đấy, nếu phù hợp, nó sẽ tập hợp các thông tin bằng cách truy cập vào URL (liên kết web) và lấy dữ liệu bí mật của người dùng. Mã độc lưu lại toàn bộ nội dung trang web, điều này có nghĩa bất kỳ dữ liệu nào cũng có thể bị đánh cắp và lưu lại".

Hình ảnh phân tích về hoạt động "bắt gói dữ liệu" của mã độc Emotet sử dụng mục đăng ký để đánh cắp thông tin người dùng - Ảnh: Trend Micro

Nguy hại hơn, phần mềm độc hại này cũng có khả năng kết nối nhiều mạng lưới API, giúp nó có thể dò ra dữ liệu ở các kết nối HTTPS. Emotet sử dụng mục đăng ký để lưu trữ các thông tin mà nó đánh cắp và mã hóa, khiến người dùng và phần mềm diệt virus không phát hiện ra.