Các nhà nghiên cứu bảo mật tại ESET, phối hợp với Microsoft và các cơ quan thực thi pháp luật – Cục Điều tra Liên bang (FBI), Interpol, Europol và các bên liên quan khác trong an ninh không gian mạng – đã thực hiện một hoạt động botnet lớn gọi là Gamarue (được phát hiện bởi ESET như Win32 / TrojanDownloader.Wauchos), đã lây nhiễm cho nạn nhân kể từ năm 2011.
Việc bắt đầu phối hợp diễn ra vào ngày 29 tháng 11 năm 2017 và kết quả của nỗ lực chung này, các cơ quan thực thi pháp luật trên khắp thế giới đã có thể bắt giữ và cản trở hoạt động của gia đình phần mềm độc hại chịu trách nhiệm lây nhiễm trên 1,1 triệu hệ thống mỗi tháng.
ESET và các nhà nghiên cứu của Microsoft đã chia sẻ các phân tích kỹ thuật, thông tin thống kê và các tên miền máy chủ (C & C) được biết đến để giúp phá vỡ hoạt động nguy hiểm của nhóm. ESET cũng chia sẻ kiến thức lịch sử về Gamarue, thu được từ việc giám sát liên tục phần mềm độc hại và tác động của nó đến người dùng trong vài năm qua.
Gamarue là gì?
Được tạo bởi bọn tội phạm trực tuyến vào tháng 9 năm 2011 và được bán dưới dạng một bộ quy tắc về Dark Web trong các diễn đàn ngầm, mục đích của gia đình Gamarue là lấy cắp thông tin xác thực để tải về và cài đặt thêm phần mềm độc hại vào hệ thống của người dùng.
Nhóm phần mềm độc hại này là một bot có thể tùy chỉnh, cho phép chủ sở hữu tạo và sử dụng plugin tùy chỉnh. Một plugin như vậy cho phép tội phạm mạng đánh cắp nội dung được nhập bởi người dùng trong các mẫu web, trong khi một số khác lại cho phép bọn tội phạm kết nối lại và kiểm soát các hệ thống bị xâm nhập.
Sự phổ biến của nó đã dẫn đến một số các botnet Gamarue độc lập. Trên thực tế, ESET phát hiện ra rằng các mẫu của nó đã được phân phối trên toàn cầu thông qua phương tiện truyền thông xã hội, phương tiện di động, spam.
Các nhà nghiên cứu ESET và Microsoft đã thu thập thông tin như thế nào?
Sử dụng dịch vụ ESET Threat Intelligence, các nhà nghiên cứu ESET đã có thể xây dựng một bot liên lạc với máy chủ C & C của mối đe dọa. Do đó, ESET và Microsoft có thể theo dõi chặt chẽ các botnet của Gamarue trong hơn năm qua, xác định máy chủ C & C của họ để gỡ bỏ và theo dõi những gì đã được cài đặt trên hệ thống nạn nhân. Hai công ty kể từ khi biên soạn một danh sách gồm tất cả các lĩnh vực được sử dụng bởi các cybercriminals như máy chủ C & C.
Jean-Ian Boutin – Chuyên gia nghiên cứu về Malware Cấp cao của ESET cho biết:
“Trong quá khứ, Wauchos là một trong những phần mềm độc hại được phát hiện nhiều nhất trong số những người sử dụng ESET, vì vậy khi Microsoft tiếp cận với chúng tôi để tham gia ngăn chặn nó, bảo vệ tốt hơn người dùng. Mối đe dọa đặc biệt này đã xảy ra trong vài năm nay và nó liên tục tái tạo lại chính nó – điều này làm cho khó theo dõi. Nhưng bằng cách sử dụng ESET Threat Intelligence và hợp tác với các nhà nghiên cứu của Microsoft, chúng tôi đã có thể theo dõi những thay đổi trong hành vi của phần mềm độc hại và hậu quả là cung cấp dữ liệu có thể hành động được chứng minh là vô giá trong những nỗ lực gỡ bỏ này.
Người dùng nên làm gì nếu nghi ngờ hệ thống của họ đã bị xâm nhập?
Những người phạm tội truyền thống đã sử dụng Gamarue để nhắm mục tiêu người dùng gia đình để lấy cắp thông tin từ các trang web thông qua plugin lấy mẫu của nó. Tuy nhiên, các nhà nghiên cứu ESET gần đây đã nhìn thấy phần mềm độc hại đang được sử dụng để cài đặt các chương trình thư rác khác nhau vào các máy bị xâm nhập trong một chương trình được gọi là pay-per-install.