Theo nghiên cứu mới nhất, những kẻ đứng sau BlackRock, mã độc trên nền tảng di động, đã xuất hiện trở lại với một banking trojan Android mới có tên là ERMAC, một biến thể khác của mã độc Cerberus.
Cengiz Han Sahin, CEO của ThreatFnai cho biết các chiến dịch phát tán ERMAC đang diễn ra và nhắm mục tiêu vào 378 ứng dụng ví và ứng dụng hỗ trợ giao dịch ngân hàng (banking app).Các chiến dịch đầu tiên liên quan đến ERMAC được cho là đã bắt đầu vào cuối tháng 8 dưới vỏ bọc là ứng dụng Google Chrome.
Kể từ đó, các cuộc tấn công đã mở rộng ra một loạt các ứng dụng khác bao gồm các ứng dụng tài chính, media players, dịch vụ giao hàng, ứng dụng của chính phủ và các phần mềm chống vi-rút như McAfee.
Công ty an ninh mạng Hà Lan đã phát hiện các bài đăng trên diễn đàn của DukeEugene, người đứng sau chiến dịch BlackRock với khả năng đánh cắp dữ liệu, theo dõi các thao tác thực hiện trên bàn phím, vào ngày 17 tháng 8, đang quảng cáo dịch vụ "cho thuê botnet android mới với nhiều chức năng"với giá 3.000 đô la một tháng.
Vào tháng 9 năm 2020, Cerberus đã phát hành miễn phí mã nguồn của một trojan truy cập từ xa (RAT) trên các diễn đàn hack ngầm sau khi cuộc bán đấu giá mã độc thất bại.
ThreatFabric cho biết không thấy các mẫu BlackRock mới kể từ khi ERMAC xuất hiện. Điều này có thể do "DukeEugene đã chuyển từ sử dụng BlackRock sang ERMAC trong các hoạt động của mình." ERMAC có nhiều điểm tương đồng với Cerberus, nó còn sử dụng các kỹ thuật obfuscation và sơ đồ mã hóa Blowfish để giao tiếp với máy chủ điều khiển tấn công.
Cũng gống như BlackRock và các banking trojan khác, ERMAC được thiết kế để lấy cắp thông tin liên hệ, tin nhắn văn bản, mở các ứng dụng tùy ý và kích hoạt các cuộc tấn công overlay vào các ứng dụng tài chính.Ngoài ra, nó đã phát triển các tính năng mới cho phép xóa bộ nhớ cache của một ứng dụng và đánh cắp tài khoản được lưu trữ trên thiết bị.
Tấn công overlay thực hiện bằng cách sử dụng một giao diện “trong suốt” để phủ lên một giao diện khác nhằm đánh lừa người dùng thực hiện các hành động không mong muốn để đánh cắp thông tin đăng nhập.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Một lỗ hổng mới chưa được khắc phục trong tính năng iCloud Private Relay của Apple có thể bị lạm dụng để làm lộ địa chỉ IP thực của người dùng, ảnh hưởng trên các thiết bị iOS chạy phiên bản mới nhất.
Tín nhiệm mạng | Một chiến thuật lừa đảo ngắn hạn lợi dụng sự kiện ra mắt của Apple đã lừa được 1.48299884 bitcoin (khoảng 69 nghìn đô la) của người dùng trong khoảng thời gian ngắn
Tín nhiệm mạng | Công bố chi tiết về ba lỗ hổng zero-day chưa được vá trên iOS và mã khai thác của từng lỗ hổng.
Tín nhiệm mạng | Một tập chứa dữ liệu về hơn 700 triệu người dùng, được cho là được lấy từ dữ liệu của LinkedIn, đã bị rò rỉ trực tuyến chứa các thông tin người dùng bao gồm địa chỉ email
Tín nhiệm mạng | Vào thứ Sáu, Google đã phát hành bản vá khẩn cấp cho trình duyệt web Chrome để vá lỗ hổng zero-day đã bị khai thác trong thực tế (CVE-2021-37973).
Tín nhiệm mạng | Lỗ hổng zero-day mới trong Finder của Apple, cho phép kẻ tấn công thực thi lệnh tùy ý trên máy Mac, ảnh hưởng đến tất cả phiên bản của macOS
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
