Phần mềm độc hại có tên ElectroRAT được viết bằng ngôn ngữ lập trình Golang và được thiết kế để chạy trên nhiều nền tảng hệ điều hành như Windows, Linux và macOS. Nó được phát triển dựa trên nền tảng mã nguồn mở Electron.
Các nhà nghiên cứu cho biết: “ElectroRAT là ví dụ mới nhất về việc những tin tặc sử dụng Golang để phát triển phần mềm độc hại đa nền tảng và tránh bị các phần mềm diệt virus phát hiện.
Thông thường tin tặc sẽ cố gắng thu thập các private key để truy cập vào ví của nạn nhân trên một hệ điều hành cụ thể. Hiếm khi nào lại có các công cụ ngay từ đầu được viết để nhắm vào nhiều hệ điều hành.
Chiến dịch được phát hiện lần đầu tiên vào tháng 12/2020, đã đánh cắp thông tin của hơn 6.500 nạn nhân dựa trên số lượng khách truy cập vào các trang Pastebin dùng để xác định các máy chủ C&C.
Qua đó, tin tặc tạo ra ba ứng dụng giả mạo khác nhau tương ứng với các hệ điều hành Windows, Linux, Mac. Hai ứng dụng "Jamm" và "eTrade" có chức năng quản lý tiền ảo. Ứng dụng còn lại "DaoPoker" giả mạo nền tảng tiền ảo Poker.
Các ứng dụng độc hại không chỉ được lưu trữ trên các trang web được xây dựng đặc biệt cho chiến dịch này, mà còn được quảng cáo trên Twitter, Telegram và các diễn đàn liên quan đến tiền điện tử và blockchain hợp pháp như "bitcointalk", "SteemCoinPan" nhằm thu hút người dùng tải xuống các ứng dụng độc hại.
Sau khi được cài đặt, ứng dụng giả mạo sẽ mở ra một giao diện tưởng như vô hại, nhưng trên thực tế ElectroRAT chạy ngầm dưới dạng "mdworker", cho phép ghi lại các tổ hợp phím, chụp ảnh màn hình, tải lên tệp từ đĩa, tải xuống tệp tùy ý và thực hiện các lệnh độc hại từ máy chủ C&C trên máy của nạn nhân.
Đáng chú ý bài phân tích trên các trang Pastebin được đăng tải bởi người dùng có tên "Execmac" vào ngày 08/01/2020. Tài khoản này đã đăng các thông tin trước chiến dịch nhắm vào máy chủ C&C sử dụng mã độc trên Windows như Amadey và KPOT. Có thể thấy, những kẻ tấn công đã chuyển hướng từ sử dụng các trojan phổ biến sang một phần mềm độc hại đa nền tảng.
Các nhà nghiên cứu khuyến cáo người dùng bị ảnh hưởng bởi chiến dịch này nên loại bỏ các tiến trình độc hại trên máy tính, xóa tất cả các tệp liên quan, chuyển tiền sang ví mới và tiến hành đổi mật khẩu.
M.H
14:00 | 16/01/2024
14:00 | 21/01/2021
16:00 | 31/07/2021
14:00 | 07/05/2016
16:00 | 21/06/2022
09:00 | 10/01/2024
11:00 | 08/02/2021
16:00 | 08/12/2020
16:00 | 17/12/2020
09:00 | 03/04/2024
Ngày 02/4, hệ thống công nghệ thông tin của Tổng công ty Dầu Việt Nam (PVOIL) bị tấn công bất hợp pháp có chủ đích theo hình thức mã hóa dữ liệu (ransomware). Vụ việc này đã khiến hệ thống công nghệ thông tin của PVOIL bị ngưng trệ, việc phát hành hóa đơn điện tử phục vụ việc bán hàng của PVOIL tạm thời không thể thực hiện được.
09:00 | 06/03/2024
Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.
15:00 | 19/01/2024
Ngày 16/1, Google đã phát hành bản cập nhật để khắc phục bốn vấn đề bảo mật trong trình duyệt Chrome, trong đó có một lỗ hổng zero-day đã bị khai thác tích cực trong thực tế.
08:00 | 08/01/2024
Eagers Automotive - Tập đoàn bán lẻ ô tô hàng đầu ở Australia và New Zealand xác nhận một sự cố tấn công mạng, gây ảnh hưởng đến một số hệ thống công nghệ thông tin khiến tập đoàn này phải tạm dừng mọi hoạt động giao dịch để ngăn chặn rò rỉ thông tin vào ngày 28/12 vừa qua.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024