Một nhóm nghiên cứu an ninh mạng của BitDefender đã thực hiện phân tích về các đặc điểm hoạt động của bộ công cụ tấn công thông qua bốn mẫu mã độc được chia sẻ trên VirusTotal bởi một nạn nhân ẩn danh. Trong đó mẫu sớm nhất được phân tích vào ngày 18/4/2023.
Theo nhà nghiên cứu Andrei Lapusneanu và Bogdan Botezatu của BitDefender, tính đến thời điểm hiện tại, những mẫu này phần lớn vẫn chưa được phát hiện và có rất ít thông tin về chúng.
Trong số các mẫu chương trình mã độc được phát hiện thì có hai mẫu về backdoor được viết bằng ngôn ngữ lập trình Python với tên gọi “JokerSpy” nhắm mục tiêu các hệ thống MacOS, Windows và cả Linux.
Khi mã độc được kích hoạt thì thành phần đầu tiên là “shared.dat” sẽ tiến hành kiểm tra hệ điều hành máy mục tiêu và thiết lập kết nối tới một máy chủ từ xa để nhận thêm các mệnh lệnh cần thực thi từ máy chủ này. Các mệnh lệnh thông thường được đưa ra từ máy chủ từ xa là thu thập thông tin về hệ thống, thực thi các mã lệnh, tải và chạy tập tin trên máy mục tiêu, cuối cùng tự kết thúc tiến trình.
Bên cạnh đó, BitDefender đã xác định được một backdoor nguy hiểm có tên là “sh.py” với khả năng chạy đa nền tảng. Backdoor này cũng có các khả năng như thu thập thông tin hệ thống, thực thi lệnh và script, thống kê, xóa tệp tin và phân tích dữ liệu đã được chuyển mã (encode data).
Thành phần thứ ba của mã độc là một tệp nhị phân FAT có tên là “xcc” với với ngôn ngữ lập trình Swift nhằm hướng tới mục tiêu là phiên bản hệ điều hành MacOS Monterey và mới hơn. Chức năng chính của thành phần này là kiểm tra về quyền trước khi thực thi các thành phần gián điệp tiềm năng khác của bộ công cụ. Các kết nối phần mềm gián điệp của xcc xuất phát từ một đường dẫn được xác định trong nội dung tệp, đó là “/Users/joker/Downloads/Spy/XProtectCheck/” và thực tế là nó kiểm tra các quyền như truy cập đĩa, ghi màn hình và khả năng truy cập.
Hoạt động tấn công trên các nền tảng
Trên thiết bị chạy MacOS, khi thành phần mã độc đầu tiên được thực thi thì sẽ tải về các nội dung được chuyển mã Base64 từ máy chủ ở xa và lưu với dạng tệp tin tại đường dẫn kèm tên gọi là “/Users/Shared/AppleAccount.tgz”. Sau đó, tệp tin này sẽ được giải nén và khởi chạy dưới dạng ứng dụng “/Users/Shared/TempUser/AppleAccountAssistant.app”.
Hoạt động tấn công mã độc trên nền tảng MacOS
Trên các máy mục tiêu chạy hệ điều hành Linux, một cách tấn công tương tự được diễn ra là backdoor xác nhận về bản phân phối hệ điều hành bằng cách kiểm tra tệp tin “/etc/os-release”, sau đó tiến hành viết các mã lệnh C vào tệp tin tạm thời “tmp.c” và biên dịch nó vào một tệp tên là “/tmp/.ICE-unix/git” sử dụng trình biên dịch CC trên Fedora hoặc GCC trên Debian.
Hiện tại có rất ít thông tin về bộ công cụ tấn công này và chưa rõ về nhóm tấn công đã phát triển nó, cách thức truy cập ban đầu và liệu nó có liên quan đến kỹ nghệ xã hội hay lừa đảo trực tuyến vẫn chưa được xác định. Tuy nhiên, việc phân tích tấn cả các mẫu mã độc và kỹ thuật tấn công của bộ công cụ được các nhà nghiên cứu ưu tiên cần phải làm rõ bởi vì họ nghi ngờ nó có thể dẫn tới một cuộc tấn công mạng phức tạp hơn.
Tiết lộ này được đưa ra hơn hai tuần sau khi công ty an ninh mạng của Nga, Kaspersky tiết lộ rằng các thiết bị iOS đã được nhắm mục tiêu như một phần của chiến dịch tấn công có tên là “Operation Triangulation” bắt đầu vào năm 2019.
Lê Thị Bích Hằng
14:00 | 14/07/2023
14:00 | 21/06/2023
14:00 | 22/06/2023
10:00 | 22/09/2023
07:00 | 24/04/2023
15:00 | 12/11/2024
Theo các nhà nghiên cứu bảo mật, một trong những cuộc tấn công chuỗi cung ứng kỹ thuật số lớn nhất trong năm 2024 đã được thực hiện bởi một công ty ít tên tuổi, chuyển hướng một lượng lớn người dùng internet đến một mạng lưới các trang web cờ bạc nhái.
13:00 | 11/11/2024
Theo trang TechSpot, FakeCall là một loại mã độc Android chuyên tấn công tài khoản ngân hàng khét tiếng trong những năm qua đã quay trở lại với 13 biến thể mới, sở hữu nhiều tính năng nâng cao, là mối đe dọa với người dùng toàn cầu.
10:00 | 25/10/2024
Các cơ quan chính phủ tại Mỹ, Úc và Canada đưa ra cảnh báo các tác nhân đe dọa được nhà nước Iran bảo trợ sử dụng kỹ thuật tấn công Brute Force và nhiều phương thức khác để triển khai các chiến dịch tấn công mạng nhắm vào các tổ chức cơ sở hạ tầng quan trọng.
11:00 | 24/10/2024
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
Một lỗ hổng zero-day mới được phát hiện ảnh hưởng đến mọi phiên bản Microsoft Windows, bao gồm cả các phiên bản cũ và đang được hỗ trợ, cho phép kẻ tấn công chiếm đoạt thông tin đăng nhập NTLM của người dùng chỉ bằng việc xem một tệp trong Windows Explorer.
10:00 | 11/12/2024