.png)
Sự gia tăng các phần mềm độc hại đánh cắp thông tin ngày càng trở nên phổ biến với các quy mô tấn công khác nhau trong những tháng gần đây. Hai phần mềm độc hại đánh cắp thông tin mới có tên FFDroider và Lightning Stealer có khả năng đánh cắp dữ liệu và khởi động các cuộc tấn công tiếp theo đang trở thành những mối đe dọa hết sức nghiêm trọng.
Bằng cách đánh cắp thông tin đăng nhập và cookie được lưu trữ trong trình duyệt, FFDroider và Lightning Stealer có thể chiếm quyền kiểm soát các tài khoản mạng xã hội của nạn nhân. Những tài khoản mạng xã hội này thậm chí còn thu hút tin tặc hơn nữa nếu như chúng có quyền truy cập vào các nền tảng quảng cáo của các mạng xã hội. Từ đó, tin tặc có thể sử dụng tài khoản của nạn nhân để chạy các quảng cáo độc hại, tạo ra sự lây nhiễm với quy mô lớn. Không giống như những mã độc đánh cắp thông tin khác, Lightning Stealer và FFDroider lưu trữ tất cả dữ liệu bị đánh cắp ở định dạng file JSON. Theo các nhà nghiên cứu của Trung tâm Giám sát an toàn không gian mạng quốc gia (có trụ sở tại Mỹ, Úc, Singapore và Ấn Độ) cho biết: “Những phần mềm đánh cắp thông tin đang sử dụng các kỹ thuật mới để trở nên khó phát hiện hơn”.
Hình 1. Lightning Stealer và FFDroider lưu trữ dữ liệu đánh cắp dưới dạng chuỗi JSON sử dụng phương thức JsonSerializer.Serialize()
Đối với phần mềm Lightning Stealer, các phương thức trong hàm Main() của nó chịu trách nhiệm thực thi nhiệm vụ đánh cắp dữ liệu. Lightning Stealer thực hiện gọi phương thức Input.GetLogGecko(). Phương thức này sẽ trả về mật khẩu, cookie và lịch sử bị đánh cắp từ trình duyệt sau khi được thực thi.
Hình 2. Cấu trúc hàm Main() của Lightning Stealer
Các trình duyệt lưu trữ dữ liệu người dùng trong thư mục “AppData\Browser_name”. Lightning Stealer sẽ kiểm tra thư mục này cùng với các tệp dưới đây:
Trước tiên, Lightning Stealer thực hiện đánh cắp dữ liệu từ tệp “login.json” và tìm kiếm các thư viện liên kết động là mozglue.dll, nss3.dll, được sử dụng để giải mã tệp “login.json” và key4.db.
Hình 3. Lightning Stealer đánh cắp thông tin đăng nhập trên trình duyệt
Tương tự, phần mềm độc hại Lightning Stealer thực hiện đánh cắp lịch sử của trình duyệt trong các tệp “place.sqlite”.
Hình 4. Lightning Stealer đánh cắp lịch sử của trình duyệt
Đối với FFDroider, theo tổ chức bảo mật Zscaler của Anh, FFDroider lây nhiễm qua các phần mềm crack, giả mạo phần mềm miễn phí, game crack và các tệp khác được tải xuống từ các trang torrent. Các trang mạng xã hội được FFDroider nhắm tới bao gồm Facebook, Instagram, Twitter, Amazon, eBay.
.png)
Hình 5. Quy trình tấn công của mã độc FFDroider
Các nhà nghiên cứu cũng cho biết thêm: sau khi đánh cắp thông tin và gửi về máy chủ ra lệnh và kiểm soát C2 (Command and Control), các phần mềm độc hại đánh cắp dữ liệu như Lightning Stealer và FFDroider sẽ tải về các mô-đun mới, cho phép mở rộng các tính năng theo thời gian. Hiện vẫn chưa biết các mô-đun mới sẽ có nhiệm vụ gì nhưng theo dự đoán chúng sẽ tạo ra những mối đe dọa lớn hơn.
Trương Đình Dũng
(tổng hợp)
12:00 | 18/05/2022
14:00 | 19/07/2022
10:00 | 08/04/2022
10:00 | 27/05/2022
10:00 | 08/04/2022
10:00 | 03/03/2023
09:00 | 17/03/2022
14:00 | 14/07/2023
Trong thời gian gần đây, các trường học tại Mỹ đang trở thành mục tiêu hàng đầu của nhóm tin tặc tấn sử dụng mã độc để tống tiền. Mới đây nhất, các thông tin nhạy cảm của hàng nghìn trẻ em tại trường Công lập Mineapolis, bang Minnesota đã bị đưa lên mạng, sau khi nhóm tin tặc không đòi được tiền chuộc.
09:00 | 13/07/2023
Vừa qua, Microsoft đã đưa ra các thông tin rằng các nhóm tin tặc đang thực hiện các chiến dịch tấn công mạng nhắm tới các thiết bị chạy hệ điều hành Linux và IoT để đánh cắp tài nguyên phần cứng các thiết bị này nhằm phục vụ cho các hoạt động đào tiền số.
13:00 | 11/07/2023
Một phần mềm độc hại mới có tên “Condi” đã được phát hiện khai thác lỗ hổng bảo mật trong bộ định tuyến Wi-Fi TP-Link Archer AX21 (AX1800) để thêm các thiết bị vào mạng botnet trong các cuộc tấn công từ chối dịch vụ phân tán (DDoS).
17:00 | 05/05/2023
Theo thông báo của Quốc hội Thụy Điển, trang web của cơ quan này đã bị tấn công mạng gây ra tình trạng gián đoạn truy cập.
14:00 | 14/08/2023 | Giải pháp khác
12:00 | 14/08/2023 | Công nghệ thông tin
17:00 | 11/08/2023|GP ATM
10:00 | 10/08/2023|Chính sách - Chiến lược
11:00 | 29/07/2023|Mật mã dân sự
16:00 | 09/11/2022|Tin tức sản phẩm
VMware Aria Operations for Networks là một công cụ giám sát, khám phá và phân tích mạng cũng như ứng dụng để xây dựng cơ sở hạ tầng mạng an toàn trên nền tảng điện toán đám mây cho các doanh nghiệp. Mới đây, mã khai thác PoC cho một lỗ hổng nghiêm trọng ảnh hưởng đến VMware Aria Operations for Networks đã được công bố. Hiện hãng đã phát hành các bản sửa lỗi cho lỗ hổng.
15:00 | 20/09/2023
