Các chuyên gia bảo mật Cisco Talos, thuộc tập đoàn Cisco (Mỹ) cho biết, một phần mềm độc hại đã được thiết kế để thu thập dữ liệu tài chính ở Ấn Độ, Trung Quốc, Hàn Quốc, Bangladesh, Pakistan, Indonesia và Việt Nam từ tháng 5/2023 đến nay.
Cisco Talos gọi chiến dịch này là CoralRaider và cho biết: Nhóm này tập trung vào thông tin xác thực, dữ liệu tài chính và tài khoản mạng xã hội của nạn nhân, bao gồm cả tài khoản doanh nghiệp và quảng cáo.
Nhóm tin tặc dùng RotBot, một biến thể tùy chỉnh của Quasar RAT và XClient, để thực hiện các vụ tấn công. Nhóm dùng nhiều công cụ khác nhau, kết hợp cả trojan truy cập từ xa và một số phần mềm độc hại khác như AsyncRAT, NetSupport RAT, Rhadamanthys. Ngoài ra, tin tặc còn sử dụng nhiều phần mềm chuyên đánh cắp dữ liệu như Ducktail, NodeStealer và VietCredCare. Thông tin bị đánh cắp được thu thập qua Telegram sau đó giao dịch trên thị trường ngầm để kiếm lợi bất hợp pháp.
Cuộc tấn công thường bắt đầu từ việc chiếm quyền quản lý tài khoản Facebook, sau đó đổi tên, sửa giao diện mạo danh các chatbot AI nổi tiếng của Google, OpenAI và Midjourney. Tin tặc thậm chí chạy quảng cáo để tiếp cận nạn nhân, lừa người dùng đến những trang web giả mạo. Một tài khoản giả mạo Midjourney từng có 1,2 triệu người theo dõi trước khi bị gỡ xuống vào giữa năm 2023.
Các chuyên gia đã mô phỏng lại một cuộc tấn công, bắt đầu từ tệp chứa mã độc được mở. Tin tặc sẽ cài tệp ứng dụng HTML (HTA) và chiếm quyền điều khiển máy chủ của nạn nhân. Từ đó tập lệnh Visual Basic được nhúng vào máy tính. Sau đó, tập lệnh tiếp tục giải mã và thực thi tuần tự ba tập lệnh PowerShell để phá vỡ các lớp bảo vệ trên máy nạn nhân. Các thông báo ứng dụng và Windows bị vô hiệu hóa. Dữ liệu bị đánh cắp và chạy RotBot.
RotBot được cấu hình để liên hệ với bot Telegram và chạy phần mềm độc hại XClient trong bộ nhớ. Cuối cùng, thông tin cookie bị đánh cắp. Các thông tin bảo mật, xác thực trên trình duyệt web như Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox và Opera bị thu thập. XClient cũng được thiết kế để lấy dữ liệu từ tài khoản Facebook, Instagram, TikTok và YouTube của nạn nhân. Mã độc còn thu thập thông tin chi tiết về các phương thức thanh toán và quyền liên quan đến tài khoản quảng cáo, kinh doanh trên Facebook của họ.
Công ty an ninh mạng Romania cho biết: Các chiến dịch quảng cáo độc hại có phạm vi tiếp cận rất lớn thông qua hệ thống quảng cáo của Meta. Từ đó tin tặc tích cực tiếp cận nạn nhân ở châu Âu và các nơi khác, bên cạnh các quốc gia châu Á.
M.H
16:00 | 15/03/2024
14:00 | 24/07/2023
10:00 | 10/07/2023
19:00 | 30/04/2024
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
16:00 | 26/03/2024
Theo nhận định của các chuyên gia, Công ty chứng khoán VNDIRECT có thể đã bị tin tặc tấn công bằng hình thức mã độc tống tiền. Cho đến chiều 26/3, hệ thống của VNDIRECT và một số hệ thống liên quan vẫn trong trạng thái ngừng trệ hoạt động.
11:00 | 29/02/2024
Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.
09:00 | 29/01/2024
Các nhà nghiên cứu đến từ hãng bảo mật Fortinet (Mỹ) phát hiện một biến thể mới của Trojan truy cập từ xa có tên Bandook đang được phân phối thông qua các cuộc tấn công lừa đảo nhằm mục đích xâm nhập vào các máy tính Windows. Bài viết sẽ phân tích hành vi của Bandook, cung cấp thông tin chi tiết về các thành phần được sửa đổi trong biến thể mới và giải mã một số ví dụ về cơ chế giao tiếp máy chủ ra lệnh và điều khiển (C2) của phần mềm độc hại này.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024