Các nhà nghiên cứu an ninh mạng tại ESET (công ty bảo mật có trụ sở chính tại Bratislava, Slovakia) tiết lộ rằng, phần mềm độc hại có tên BlackRock được tạo ra với mục đích đánh cắp thông tin đăng nhập của nạn nhân trên tổng số 458 dịch vụ trực tuyến. Danh sách các ứng dụng được nhắm mục tiêu bao gồm tất cả các loại ứng dụng tài chính, mua sắm và trao đổi tiền điện tử, cũng như các nền tảng nhắn tin và truyền thông xã hội (Twitter, Whatapp, Facebook, Amazon, Netflix, Outlook, eBay, Coinbase, Plus500, Cash App, BBVA, Lloyds Bank…).
BlackRook sử dụng cách thức tấn công lớp phủ (overlay attack) để thực hiện đánh cắp thông tin đăng nhập của nạn nhân bất cứ khi nào một trong những ứng dụng bị nhắm mục tiêu được khởi chạy. Khi đó, chúng tạo ra một cửa sổ giả hiện lên trên một ứng dụng hợp pháp, “lớp phủ” này kết hợp với ứng dụng nền khiến người dùng khó nhận biết pop-up xuất hiện có phải là một phần của ứng dụng đó hay không. Cửa sổ này sẽ nhắc người dùng điền thông tin đăng nhập và số thẻ tín dụng để có thể bắt đầu dùng ứng dụng hợp pháp. Đây là một kỹ thuật phổ biến cho phép tin tặc có quyền truy cập vào thông tin đăng nhập của người dùng.
Mối quan tâm chính ở đây là phần mềm độc hại cũng có thể chặn tin nhắn văn bản kể cả khi người dùng có đang sử dụng xác thực hai yếu tố dựa trên SMS. Sau đó, ứng dụng độc hại yêu cầu nạn nhân kích hoạt các dịch vụ trợ năng để cho phép chúng có thể kiểm soát trực tiếp thiết bị.
Chuyên gia Lukas Stefanko của ESET cho biết, tin tặc đã tạo ra một bản sao được làm giống như web Clubhouse chính thức và chỉ có một vài điểm nhỏ khác biệt. Nếu người dùng tải xuống ứng dụng từ một trang web hợp pháp, ứng dụng đó sẽ luôn chuyển hướng người dùng đến Google Play thay vì tải xuống trực tiếp. Phiên bản giả mạo sẽ tự động tải xuống ứng dụng trên thiết bị của người dùng ngay sau khi họ nhấp vào “tải xuống trên Google Play”.
Một điểm khác biệt chính cần lưu ý là khi sử dụng các trang web giả mạo, có dấu hiệu cho thấy kết nối không an toàn (HTTP thay vì HTTPS) hoặc trang web đang sử dụng tên miền cấp cao “.mobi” (TLD) thay vì “.com.”.
Trang web giả mạo (trái) và trang web hợp pháp (phải)
Trên thực tế là Clubhouse thực sự đang có kế hoạch tung ra phiên bản Android cho ứng dụng của mình, nhưng hiện tại ứng dụng này hiện chỉ có sẵn cho người dùng iOS.
Để tránh trở thành nạn nhân của các cuộc tấn công tương tự bởi phần mềm độc hại Trojan, có một số lưu ý mà người dùng có thể làm theo:
- Chỉ sử dụng các cửa hàng chính thức để tải ứng dụng xuống thiết bị của mình. Cảnh giác với các quyền cấp cho ứng dụng.
- Người dùng nên cập nhật thiết bị của mình bằng cách cài đặt tự động cập nhật bản vá. Nếu có thể, nên sử dụng trình tạo mật khẩu một lần (OTP) dựa trên phần mềm hoặc mã thông báo phần cứng thay vì SMS.
- Thực hiện một số tìm hiểu về nhà phát triển và xếp hạng của ứng dụng cũng như đánh giá của người dùng trước khi cài đặt ứng dụng.
Quốc Trường
09:00 | 16/04/2021
16:00 | 15/03/2021
13:00 | 17/02/2021
14:00 | 17/05/2021
08:00 | 14/06/2021
09:00 | 22/03/2021
10:00 | 08/04/2022
19:00 | 30/04/2024
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
07:00 | 08/04/2024
Tháng 01/2024, nhóm nghiên cứu Zero Day Initiative (ZDI) của hãng bảo mật Trend Micro phát hiện chiến dịch phân phối phần mềm độc hại DarkGate. Các tác nhân đe dọa đã khai thác lỗ hổng CVE-2024-21412 trong Windows Defender SmartScreen để vượt qua kiểm tra bảo mật (bypass) và tự động cài đặt phần mềm giả mạo.
08:00 | 06/02/2024
GitLab vừa phát hành các bản vá lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng trong phiên bản dành cho cộng đồng (CE) và phiên bản dành cho doanh nghiệp (EE). Lỗ hổng có thể bị khai thác để ghi các tệp tùy ý trong khi tạo workspace.
14:00 | 16/01/2024
Các tài khoản X (Twitter) chính thức của Netgear và Hyundai MEA (có hơn 160.000 người theo dõi) là những tài khoản nổi tiếng mới nhất bị tin tặc tấn công để phát tán lừa đảo, nhằm lây nhiễm phần mềm độc hại, chiếm đoạt tiền điện tử của các nạn nhân.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024