🔥 Công Ty Cổ phần Sức Sống Việt Nam đã đăng ký tín nhiệm. 🔥                    🔥 Công ty TNHH Cửa Phú Mỹ Hưng đã đăng ký tín nhiệm. 🔥                    🔥 Công Ty TNHH Thương Mại - Dịch Vụ - Đầu Tư Q Global đã đăng ký tín nhiệm. 🔥                    🔥 Hiệp Hội Blockchain Việt Nam đã đăng ký tín nhiệm. 🔥                    🔥 Thành ủy Cần Thơ đã đăng ký tín nhiệm. 🔥                   

Tin tặc lợi dụng trend thịnh hành trên TikTok để phát tán phần mềm độc hại

30/11/2022

Theo một nghiên cứu mới từ Checkmarx, tin tặc đang lợi dụng một thử thách phổ biến trên TikTok để lừa người dùng tải xuống phần mềm độc hại đánh cắp thông tin.

Thử thách có tên là ‘Thử thách vô hình’ (Invisible Challenge), liên quan đến việc người quay thử thách sử dụng hiệu ứng Invisible Body để chỉ tạo ra hình ảnh đường viền mờ của cơ thể.

Nhưng việc những người quay thử thách có thể không mặc quần áo đã dẫn đến một âm mưu xấu, trong đó những kẻ tấn công đăng video TikTok có liên kết đến một phần mềm giả mạo có tên là "unfilter" có thể cho phép xóa các hiệu ứng đã sử dụng.

Nhà nghiên cứu Guy Nachshon của Checkmarx cho biết phần mềm 'unfilter' được thiết kế để triển khai mã độc WASP được dấu bên trong các package Python độc hại.

WASP (hay W4SP Stealer) là một phần mềm độc hại dùng để đánh cắp mật khẩu, tài khoản Discord, ví tiền điện tử và các thông tin nhạy cảm khác của người dùng.

Các video TikTok do kẻ tấn công đăng vào ngày 11 tháng 11 năm 2022 đã đạt hơn một triệu lượt xem chỉ sau vài ngày. Các tài khoản đăng video này hiện đã bị cấm.

Trong các video còn có link mời đến một máy chủ Discord do kẻ tấn công quản lý với gần 32.000 thành viên trước khi nó bị phát hiện và xóa bỏ. Các nạn nhân tham gia máy chủ Discord sau đó sẽ nhận được liên kết đến kho lưu trữ phần mềm độc hại trên GitHub.

Kẻ tấn công đã đổi tên dự án thành "Nitro-generator" từ ngày 27 tháng 11 năm 2022, sau khi nó lọt vào danh sách kho lưu trữ phổ biến (Trending repositories list) của GitHub  bằng cách thao túng các thành viên trên Discord đánh dấu sao cho dự án.

Bên cạnh việc đổi tên kho lưu trữ, tin tặc đã xóa các tệp cũ trong dự án và tải lên các tệp mới, và mô tả tệp Python được cập nhật là "một mã nguồn mở, không phải **VIRUS**".

Phần mềm đánh cắp thông tin được cho là đã được thêm vào trong nhiều package Python khác nhau, như "tiktok-filter-api", "pyshftuler", "pyiopc" và "pydesings".

Nachshon lưu ý rằng "mức độ thao túng được sử dụng trong cuộc tấn công chuỗi cung ứng phần mềm đang gia tăng khi những kẻ tấn công ngày càng trở nên tinh vi". "Những cuộc tấn công cũng cho thấy những kẻ tấn công mạng đã bắt đầu chú ý đến hệ sinh thái phần mềm mã nguồn mở".

Nguồn: thehackernews.com

scrolltop