🔥 Công ty Cổ phần MISA đã đăng ký tín nhiệm. 🔥                    🔥 Công ty Cổ phần Thiết kế - Xây dựng và Đào tạo Kiến Thiết Việt đã đăng ký tín nhiệm. 🔥                    🔥 Công Ty TNHH Trang Trí Nội Thất Và Xây Dựng Gia Hân đã đăng ký tín nhiệm. 🔥                    🔥 Công Ty Cổ Phần Truyền Thông Appnet đã đăng ký tín nhiệm. 🔥                    🔥 Tuấn Nguyễn Mobile đã đăng ký tín nhiệm. 🔥                   

Các công cụ đánh cắp thông tin đang được phán tán thông qua mạng lưới phần mềm bẻ khóa giả mạo khổng lồ

17/01/2023

Một cơ sở hạ tầng lớn gồm hơn 250 tên miền đang được sử dụng để phát tán mã độc đánh cắp thông tin như Raccoon và Vidar kể từ đầu năm 2020.

Đầu tháng này, công ty bảo mật SEKOIA cho biết: Chuỗi lây nhiễm "sử dụng khoảng một trăm trang web có chứa các phần mềm bị bẻ khóa giả mạo để chuyển hướng nạn nhân đến một số liên kết trung gian trước khi đến trang tải xuống các công cụ độc hại được lưu trữ trên các nền tảng chia sẻ tệp như GitHub".

Các tên miền được vận hành bởi một tác nhân đe dọa đang sử dụng hệ thống định hướng lưu lượng (TDS), cho phép tội phạm mạng khác thuê dịch vụ để phát tán phần mềm độc hại của chúng.

Các cuộc tấn công nhắm vào những người dùng đang tìm kiếm các phiên bản bẻ khóa của các phần mềm, ứng dụng trò chơi trên các công cụ tìm kiếm như Google, đưa các trang web lừa đảo lên đầu kết quả tìm kiếm bằng cách lợi dụng một kỹ thuật gọi là “đầu độc (poisoning) SEO” để dụ nạn nhân tải xuống và cài đặt các phần mềm độc hại.

Kết quả tìm kiếm “bị nhiễm độc” sẽ hiển thị liên kết tải xuống phần mềm được hứa hẹn, khi nhấp vào, sẽ chuyển hướng URL qua năm giai đoạn để đưa người dùng đến một trang web hiển thị liên kết rút gọn, trỏ đến tệp RAR được bảo vệ bằng mật khẩu được lưu trữ trên đó.

Các nhà nghiên cứu cho biết: “Việc sử dụng một số chuyển hướng làm phức tạp và gây khó khăn cho quá trình phân tích tự động bằng các giải pháp bảo mật”.

Nếu nạn nhân giải nén tệp RAR và chạy tệp thực thi trong đó, thì một trong hai phần mềm độc hại, Raccoon hoặc Vidar, sẽ được cài đặt trên hệ thống.

Sự phát triển diễn ra khi Cyble tiết lộ chi tiết về một chiến dịch Google Ads lừa đảo sử dụng các phần mềm phổ biến như AnyDesk, Bluestacks, Notepad++ và Zoom làm mồi nhử để triển khai mã độc đánh cắp thông tin Rhadamanthys Stealer.

Một biến thể của chuỗi tấn công được phát hiện là đã lợi dụng các email lừa đảo giả dạng thông báo từ ngân hàng để lừa người dùng nhấp vào các liên kết lừa đảo.

Trước đây, các trang web giả mạo mạo danh ứng dụng truy cập máy tính từ xa phổ biến cũng đã được sử dụng để phát tán một công cụ đánh cắp thông tin dựa trên Python có tên là Mitsu Stealer.

Cả hai phần mềm độc hại đều được thiết kế để thu thập nhiều loại thông tin cá nhân từ các máy bị xâm nhập, thu thập thông tin đăng nhập từ trình duyệt web và đánh cắp dữ liệu từ các ví tiền điện tử.

Người dùng nên hạn chế tải xuống phần mềm vi phạm bản quyền và triển khai xác thực đa yếu tố bất cứ khi nào có thể để bảo vệ tài khoản.

Đặc biêt, người dùng phải thận trọng khi nhận được email rác hoặc truy cập các trang web lạ và xác minh nguồn gốc trước khi tải xuống bất kỳ ứng dụng nào.

Nguồn: thehackernews.com.

scrolltop