พบ CoreBot Trojan อีกครั้งหลังจากหายไปสองปี นับตั้งแต่การโจมตีลูกค้าธนาคารออนไลน์ครั้งล่าสุด CoreBot Trojan ถูกพบบ่อยในช่วงหน้าร้อน 2015 หลังจากที่เปลี่ยนเป้าหมายมาโจมตีธนาคาร หลังจากมีการระบาดช่วงสั้นๆ CoreBot Trojan ดูเหมือนว่าจะหายไปก่อนจะกลับมาอีกครั้งในช่วงสัปดาห์ที่ผ่านมา นักวิจัยจาก Deep Instinct ออกมาให้รายละเอียดว่าเวอร์ชันใหม่ของ CoreBot กำลังแพร่กระจายผ่านการ Spam Email เพื่อขโมยข้อมูลของลูกค้า ลูกค้าของ TD, Des-Jardins, RBC, Scotia Bank, Banque National ล้วนเป็นเป้าหมายของการโจมตี หากสามารถเจาะเข้ามาสำเร็จจะทำให้ผู้ที่โจมตีได้ข้อมูลสำคัญๆ ของเหยื่อจากการที่เหยื่อล็อกอินเข้าระบบเว็บไซต์เหล่านั้น CoreBot เวอร์ชันใหม่จะมีการแสดงข้อความปลอมว่าขอบคุณที่จ่ายเงินให้เพื่อทำให้เหยื่อตื่นตระหนก และคิดตัวเองได้เสียเงินไปแล้ว
ลิ้งค์ที่อยู่ในอีเมลหากถูกกดเข้าไปแล้วจะเป็นการสั่งเริ่มกระบวนการดาวน์โหลดไฟล์อันตราย ซึ่งแตกตายกับ CoreBot เวอร์ชันเก่าตรงที่เวอร์ชันเก่าจะมีไฟล์อันตรายดังหล่าวอยู่ในเมลแล้ว เวอร์ชันยังมีเทคนิคใหม่เพิ่มขึ้นมาเพื่อหลบหลีกการตรวจจับโค้ดแปลกปลอมในไฟล์ นักวิจัยให้ข้อมูลเพิ่มเติมว่า command and control server domain ได้มีการเปลี่ยน IP จากการโจมตีครั้งก่อน ในขณะเดียวกัน IP ที่ใช้ในการกระจายเมลครั้งนี้ดูเหมือนว่าจะมาจากประเทศฝรั่งเศษ และประเทศแคนนาดา นักวิจัยยังบอกอีกว่า CoreBot เวอร์ชันนี้มีความคล้ายกับ Banking Malware ตัวอื่นๆ แต่ยังไม่ได้บอกว่าตัวไหน Deep Instinct บอกกับ ZDNet ว่าจากการตรวจสอบโค้ด พบว่าอาจมาจากประเทศจีน ปัจจุบันยังคงมีการวิเคราะห์เกี่ยวกับ CoreBot และลูกค้าธนาคารได้รับคำเตือนให้ระวังข้อความแปลกๆ เกี่ยวกับการทำธุรกรรมใดๆ
ที่มา : ZDNet