News
Tin tức An toàn thông tin - Tuần 1 - Tháng 9 - 2023
date
Sep 5, 2023
slug
tin-tuc-attt-tuan-1-thang-9-nam-2023
author
status
Public
tags
News
Blog
Daily
Git
Docs
Github
Ransomware
Malware
summary
Tổng hợp các tin tức an toàn thông tin trong tuần 1 tháng 9 - 2023 (4/9-9/9)
type
Post
thumbnail
category
News
updatedAt
Sep 9, 2023 02:10 AM
1. Tội phạm mạng Việt Nam nhắm mục tiêu vào các tài khoản doanh nghiệp trên Facebook bằng quảng cáo độc hại2. Hacker khai thác hệ thống lưu trữ MinIO để xâm nhập vào mạng doanh nghiệp3. Phần mềm độc hại Fileless được phân phối qua thư rác4. Phần mềm độc hại Chaes sử dụng Giao thức DevTools của Google Chrome để đánh cắp dữ liệu5. Bộ W3LL phishing chiếm đoạt hàng nghìn tài khoản Microsoft 365, vượt qua MFA6. Cảnh báo: Chiến dịch lừa đảo cung cấp biến thể SideTwist Backdoor và Agent Tesla mới7. Tin tặc sử dụng ChatGPT để tạo ra các mối đe dọa phần mềm độc hại và kỹ thuật xã hội8. Tin tặc sử dụng các tệp Weaponized LNK để triển khai phần mềm độc hại RedEyes9. Người dùng mac: Chiến dịch quảng cáo độc hại phát tán phần mềm độc hại Atomic Stealer macOS
1. Tội phạm mạng Việt Nam nhắm mục tiêu vào các tài khoản doanh nghiệp trên Facebook bằng quảng cáo độc hại
Những kẻ tấn công liên quan đến Việt Nam đang tận dụng việc quảng cáo trên các nền tảng truyền thông xã hội như Facebook để phát tán phần mềm độc hại.
Những kẻ tấn công đã sử dụng quảng cáo để lừa đảo từ lâu như một phương tiện để nhắm mục tiêu vào các nạn nhân bằng cách lừa đảo, quảng cáo độc hại. Với việc các doanh nghiệp đang tận dụng phạm vi tiếp cận của mạng xã hội để quảng cáo, những kẻ tấn công có kiểu tấn công mới, có khả năng sinh lợi để bổ sung vào các nguồn tấn công như chiếm đoạt tài khoản doanh nghiệp.
Các cuộc tấn công mạng nhắm vào tài khoản Meta Business và Facebook đã trở nên phổ biến trong năm qua, nhờ các cụm hoạt động như Ducktail và NodeStealer thường tấn công các doanh nghiệp và cá nhân hoạt động trên Facebook.
Trong số các phương pháp được tội phạm mạng sử dụng để truy cập trái phép vào tài khoản người dùng, kỹ thuật lừa đảo xã hội đóng một vai trò quan trọng.
Nạn nhân được tiếp cận thông qua nhiều nền tảng khác nhau, từ Facebook và LinkedIn đến WhatsApp và các cổng việc làm tự do như Upwork. Một cơ chế phân phối khác được biết đến là việc sử dụng công cụ tìm kiếm để tăng cường phần mềm không có thật như CapCut, Notepad++, OpenAI ChatGPT, Google Bard và Meta Threads.
Một yếu tố phổ biến đối với các nhóm này là lạm dụng các dịch vụ rút ngắn URL, Telegram để ra lệnh và kiểm soát (C2) và các dịch vụ đám mây hợp pháp như Trello, Discord, Dropbox, iCloud, OneDrive và Mediafire để lưu trữ các tải trọng độc hại.
Ví dụ, những kẻ đứng đằng sau Ducktail tận dụng các mồi nhử liên quan đến các dự án tiếp thị và thương hiệu để xâm nhập vào các cá nhân và doanh nghiệp hoạt động trên nền tảng Kinh doanh của Meta, với các làn sóng tấn công mới sử dụng các chủ đề liên quan đến việc làm và tuyển dụng để kích hoạt sự lây nhiễm.
Trong các cuộc tấn công này, các mục tiêu tiềm năng được hướng đến các bài đăng không có thật trên Upwork và Freelancer thông qua quảng cáo Facebook hoặc LinkedIn InMail, do đó chứa liên kết đến tệp mô tả công việc bị bẫy được lưu trữ trên một trong những nhà cung cấp lưu trữ đám mây nói trên, cuối cùng dẫn đến đến việc triển khai phần mềm độc hại đánh cắp Ducktail.
Zscaler ThreatLabz phân tích: “Phần mềm độc hại Ducktail đánh cắp cookie phiên đã lưu từ trình duyệt, với mã được thiết kế riêng để chiếm đoạt các tài khoản doanh nghiệp trên Facebook”, các tài khoản này được bán với giá từ 15 đến 340 USD .
“Các 'sản phẩm' của hoạt động này (tức là các tài khoản mạng xã hội bị tấn công) cung cấp cho nền kinh tế ngầm các tài khoản mạng xã hội bị đánh cắp, nơi nhiều nhà cung cấp cung cấp các tài khoản được định giá tùy theo mức độ hữu ích của chúng đối với hoạt động độc hại."
Một số chuỗi lây nhiễm được quan sát từ tháng 2 đến tháng 3 năm 2023 có liên quan đến việc sử dụng lối tắt và tệp PowerShell để tải xuống và khởi chạy phần mềm độc hại cuối cùng, minh họa cho sự phát triển liên tục trong chiến thuật của những kẻ tấn công.
Thử nghiệm cũng mở rộng cho kẻ đánh cắp, đã được cập nhật để thu thập thông tin cá nhân của người dùng từ X (trước đây là Twitter), TikTok Business và Google Ads, cũng như tận dụng cookie phiên Facebook bị đánh cắp để tạo quảng cáo lừa đảo theo cách tự động và có được đặc quyền nâng cao để thực hiện các hành động khác.
Phương pháp chính được sử dụng để chiếm đoạt tài khoản bị xâm nhập của nạn nhân là thêm địa chỉ email của chính họ vào tài khoản đó, sau đó thay đổi mật khẩu và địa chỉ email của tài khoản Facebook của nạn nhân để khóa họ khỏi dịch vụ.
WithSecure cho biết: “Một tính năng mới khác được quan sát thấy trong các mẫu Ducktail kể từ (ít nhất) tháng 7 năm 2023 là sử dụng RestartManager (RM) để dừng các tiến trình khóa cơ sở dữ liệu trình duyệt”. “Khả năng này thường được tìm thấy trong ransomware vì các tệp đang được các tiến trình hoặc dịch vụ sử dụng không thể được mã hóa.”
Hơn nữa, tải trọng cuối cùng bị che khuất bằng cách sử dụng một trình tải để giải mã và thực thi nó một cách linh hoạt trong thời gian chạy, được coi là nỗ lực kết hợp các kỹ thuật nhằm tăng độ phức tạp của phân tích và khả năng trốn tránh phát hiện.
Một số phương pháp khác được tác nhân đe dọa áp dụng để cản trở quá trình phân tích bao gồm việc sử dụng tên tập hợp được tạo duy nhất và sự phụ thuộc vào SmartAssembly, tăng cường và nén để làm xáo trộn phần mềm độc hại.
Zscaler cho biết họ đã phát hiện ra các trường hợp nhóm bắt đầu liên hệ thông qua các tài khoản LinkedIn bị xâm nhập thuộc về những người dùng làm việc trong lĩnh vực tiếp thị kỹ thuật số, một số người trong số họ có hơn 500 kết nối và 1.000 người theo dõi.
Các nhà nghiên cứu cho biết: “Số lượng kết nối/người theo dõi cao đã giúp tăng tính xác thực cho các tài khoản bị xâm nhập và tạo điều kiện thuận lợi cho quá trình lừa đảo xã hội của các tác nhân đe dọa”.
Điều này cũng nêu bật sự lan truyền giống như worm của Ducktail, trong đó thông tin đăng nhập LinkedIn và cookie bị đánh cắp từ người dùng trở thành nạn nhân của cuộc tấn công bằng phần mềm độc hại sẽ được sử dụng để đăng nhập vào tài khoản của họ và liên hệ với các mục tiêu khác cũng như mở rộng phạm vi tiếp cận của họ.
Ducktail được cho là một trong nhiều kẻ đe dọa người Việt đang tận dụng các công cụ và chiến thuật dùng chung để thực hiện các âm mưu lừa đảo như vậy. Điều này cũng bao gồm một bản sao Ducktail có tên là Duckport, đã hoạt động từ cuối tháng 3 năm 2023 và thực hiện hành vi đánh cắp thông tin cùng với việc chiếm đoạt tài khoản Meta Business.
Cần chỉ ra rằng chiến dịch mà Zscaler đang theo dõi với tên Ducktail trên thực tế là Duckport, theo WithSecure, là một mối đe dọa riêng do sự khác biệt trong các kênh Telegram được sử dụng cho C2, việc triển khai mã nguồn và thực tế là cả hai chủng chưa bao giờ được phân phối cùng nhau.
WithSecure cho biết: “Mặc dù Ducktail đã bắt đầu sử dụng các trang web có thương hiệu giả mạo như một phần trong nỗ lực kỹ thuật xã hội của họ, nhưng đó vẫn là một kỹ thuật phổ biến đối với Duckport”.
“Thay vì cung cấp liên kết tải xuống trực tiếp tới các dịch vụ lưu trữ tệp như Dropbox (có thể gây nghi ngờ), Duckport gửi liên kết của nạn nhân đến các trang web có thương hiệu có liên quan đến thương hiệu/công ty mà họ đang mạo danh, sau đó chuyển hướng họ tải xuống kho lưu trữ độc hại từ các dịch vụ lưu trữ tập tin (chẳng hạn như Dropbox)."
Duckport, mặc dù dựa trên Ducktail, cũng đi kèm với các tính năng mới mở rộng khả năng đánh cắp thông tin và chiếm đoạt tài khoản, đồng thời chụp ảnh màn hình hoặc lạm dụng các dịch vụ ghi chú trực tuyến như một phần của chuỗi C2, về cơ bản thay thế Telegram như một kênh để truyền lệnh vào máy của nạn nhân.
“Yếu tố lấy Việt Nam làm trung tâm của các mối đe dọa này và mức độ chồng chéo cao về năng lực, cơ sở hạ tầng và nạn nhân cho thấy mối quan hệ làm việc tích cực giữa các tác nhân đe dọa khác nhau, công cụ dùng chung và TTP giữa các nhóm mối đe dọa này hoặc tội phạm mạng Việt Nam có định hướng dịch vụ và rạn nứt” hệ sinh thái (tương tự như mô hình ransomware-as-a-service) tập trung vào các nền tảng truyền thông xã hội như Facebook,” WithSecure cho biết.
Nghiên cứu của WithSecure
Nguồn 🔗 TheHackerNews
2. Hacker khai thác hệ thống lưu trữ MinIO để xâm nhập vào mạng doanh nghiệp
Tin tặc đang khai thác hai lỗ hổng MinIO gần đây để xâm nhập hệ thống lưu trữ đối tượng và truy cập thông tin cá nhân, thực thi mã tùy ý và có khả năng chiếm quyền kiểm soát máy chủ.
MinIO là dịch vụ lưu trữ đối tượng nguồn mở cung cấp khả năng tương thích với Amazon S3 và khả năng lưu trữ dữ liệu phi cấu trúc, nhật ký, bản sao lưu và hình ảnh vùng chứa có kích thước lên tới 50TB.
Hiệu suất cao và tính linh hoạt, đặc biệt đối với các ứng dụng AI/ML và dữ liệu quy mô lớn, khiến MinIO trở thành một lựa chọn phổ biến, tiết kiệm chi phí.
Hai lỗ hổng được tìm thấy trong các cuộc tấn công của đội ứng phó sự cố của Security Joes là CVE-2023-28432 và CVE-2023-28434, hai vấn đề có mức độ nghiêm trọng cao ảnh hưởng đến tất cả các phiên bản MinIO trước RELEASE.2023-03-20T20-16-18Z.
Hai lỗ hổng này đã được nhà cung cấp tiết lộ và sửa chữa vào ngày 3 tháng 3 năm 2023.
Các cuộc tấn công Evil MinIO
Trong quá trình tham gia ứng phó sự cố, các nhà phân tích của Security Joes đã phát hiện ra rằng những kẻ tấn công đã cố gắng cài đặt một phiên bản sửa đổi của ứng dụng MinIO, có tên là Evil MinIO, có sẵn trên GitHub .
Các nhà nghiên cứu đã tìm thấy hơn 50.000 lượt cài đặt MinIO được hiển thị trực tuyến bằng Shodan.
Là một phần của cuộc tấn công, Evil MinIO xâu chuỗi cả lỗ hổng CVE-2023-28432 và lỗ hổng CVE-2023-28434 để thay thế phần mềm MinIO bằng mã sửa đổi có thêm cửa hậu có thể truy cập từ xa.
Cuộc tấn công bắt đầu bằng việc những kẻ tấn công thực hiện một số kỹ thuật xã hội để thuyết phục kỹ sư DevOPS hạ cấp xuống phiên bản cũ hơn của phần mềm MinIO bị ảnh hưởng bởi hai lỗ hổng.
Sau khi cài đặt, tin tặc khai thác CVE-2023-28432 để truy cập từ xa vào các biến môi trường của máy chủ, bao gồm cả biến
MINIO_SECRET_KEYvà MINIO_ROOT_PASSWORD.Những thông tin xác thực quản trị này cho phép tin tặc truy cập vào bảng điều khiển dành cho quản trị viên MinIO bằng ứng dụng khách MinIO. Bằng cách sử dụng ứng dụng khách này, kẻ tấn công sẽ sửa đổi URL cập nhật phần mềm thành URL mà chúng kiểm soát để đẩy một bản cập nhật độc hại.
Là một phần của quy trình này, chuỗi khai thác sử dụng lỗ hổng CVE-2023-28434 để thay thế tệp mã nguồn .go hợp pháp bằng tệp bị giả mạo.
Bản cập nhật độc hại này giống hệt với ứng dụng MinIO hợp pháp nhưng có thêm mã cho phép thực thi lệnh từ xa tới máy chủ bị xâm nhập thông qua các URL sau:
http://vulnerable.minio.server/?alive=[CMD_TO_EXECUTE] http://vulnerable.minio.server/anything?alive=[CMD_TO_EXECUTE]
Trong vụ việc mà Security Joes quan sát, các nhà phân tích đã thấy các tác nhân đe dọa sử dụng cửa hậu này để chạy các lệnh Bash và tải xuống các tập lệnh Python.
Các nhà nghiên cứu giải thích : “Điểm cuối này hoạt động như một cửa hậu tích hợp, cấp cho các cá nhân trái phép khả năng thực thi các lệnh trên máy chủ đang chạy ứng dụng” .
Các nhà phân tích cho biết thêm: "Đáng chú ý là các lệnh được thực thi kế thừa quyền hệ thống của người dùng đã khởi chạy ứng dụng. Trong trường hợp này, do thực hành bảo mật không đầy đủ, kỹ sư DevOps khởi chạy ứng dụng đã giữ các quyền cấp gốc".
Security Joes báo cáo rằng backdoor trong Evil MinIO không được các công cụ trên nền tảng quét Virus Total phát hiện, mặc dù công cụ này đã được xuất bản cách đây một tháng.
Hoạt động sau thỏa hiệp
Sau khi xâm nhập vào hệ thống lưu trữ đối tượng, những kẻ tấn công sẽ thiết lập một kênh liên lạc với máy chủ chỉ huy và kiểm soát (C2) từ đó nó tìm nạp các tải trọng bổ sung hỗ trợ hoạt động sau xâm phạm.
Tải trọng được tải xuống trên Linux thông qua 'curl' hoặc 'wget' và trên Windows thông qua 'winhttpjs.bat' hoặc 'bitsadmin' và bao gồm những nội dung sau:
- System profiling script: thu thập thông tin hệ thống như chi tiết người dùng, bộ nhớ, cronjob và mức sử dụng đĩa.
- Network reconnaissance scriptL xác định các giao diện mạng, máy chủ và cổng có thể truy cập.
- Windows account creation script: tạo tài khoản người dùng trên hệ thống bị xâm nhập có tên là "support" hoặc "servicemanager".
- PING scan script: xác định các tài sản có thể truy cập được trong mạng bị xâm nhập bằng module Python asyncio.
- China Chopper-like webshell: một dòng webshell có tính năng tương tự như China Chopper.
Security Joes cảnh báo rằng có 52.125 phiên bản MinIO bị lộ trên internet công cộng và khoảng 38% trong số đó được xác nhận chạy phiên bản phần mềm không có lỗ hổng.
Điều đó có nghĩa là quản trị viên hệ thống đám mây nên nhanh chóng áp dụng bản cập nhật bảo mật có sẵn để bảo vệ tài sản của họ khỏi các nhà khai thác Evil MinIO.
3. Phần mềm độc hại Fileless được phân phối qua thư rác
Trung tâm ứng phó khẩn cấp bảo mật AhnLab (ASEC) đã phát hiện một chiến dịch lừa đảo lây lan qua thư rác và thực thi tệp PE (EXE) mà không tạo tệp vào PC người dùng. Phần mềm độc hại đính kèm trong tiện ích mở rộng hta cuối cùng sẽ thực thi các chủng phần mềm độc hại như AgentTesla, Remcos và LimeRAT.
Email được ngụy trang dưới dạng thông báo chuyển khoản ngân hàng. Bên trong file ảnh ISO đính kèm là file script (.hta) được ngụy trang dưới dạng thông báo chuyển giao. Tệp hta là tệp tập lệnh chạy qua mshta.exe, một ứng dụng Windows.
Bằng chứng về việc tệp hta độc hại đang được thực thi thông qua sơ đồ phát hiện trong AhnLab EDR. Thông qua sơ đồ, người ta có thể thấy một cây quy trình đáng ngờ trong đó quy trình mshta.exe thực thi cmd.exe, powershell.exe và RegAsm.exe theo thứ tự.
Lệnh PowerShell được mshta.exe thực thi. Thông qua việc giải thích cú pháp của tập lệnh PowerShell, có thể xác định rằng mã yêu cầu dữ liệu loại chuỗi từ máy chủ (DownloadString), giải mã dữ liệu (FromBase64string), sau đó tải dữ liệu nói trên (CurrentDomain.Load) để gọi một hàm nhất định ('VAI'). Phương thức này không tạo tệp nhị phân thành tệp PE nhưng đây là phương thức không dùng tệp thực thi tệp nhị phân trong vùng bộ nhớ của PowerShell.
Dữ liệu mà tập lệnh PowerShell yêu cầu từ C2 đã được xác nhận thông qua trình duyệt. Như được xác định thông qua tập lệnh PowerShell, dữ liệu hiển thị tệp PE (DLL) khi được giải mã trong Base64.
Các tính năng của DLL được giải mã bao gồm tải xuống tệp nhị phân cuối cùng từ C2 và đưa nó vào RegAsm.exe, một quy trình Windows bình thường. Do đó, dòng phần mềm độc hại cuối cùng được chạy thông qua RegAsm.exe. Màn hình EDR hiển thị tính năng DLL liên quan đến việc PowerShell.exe đưa vào RegAsm.exe. Trong blog CYBLE đã đề cập rằng Remcos, AgentTesla, LimeRAT, v.v. đã được tải xuống dưới dạng tệp nhị phân cuối cùng trong chiến dịch lừa đảo này. [1]
ASEC đã đề cập đến phương pháp phân phối không dùng tệp của một loại phần mềm độc hại thông qua email sử dụng dữ liệu từ EDR. Kẻ đe dọa đã ngụy trang cẩn thận email và tập tin dưới dạng báo cáo chuyển khoản ngân hàng. Vì vậy, chỉ nhìn vào nội dung của email thì rất khó để phân biệt nó với nội dung thông thường. Khi mở tệp đính kèm trong email, người dùng phải kiểm tra xem nó có chứa phần mở rộng tệp thực thi có khả năng trở thành chủng phần mềm độc hại hay không. Họ cũng nên sử dụng các sản phẩm bảo mật để kiểm tra quyền truy cập từ các tác nhân đe dọa và kiểm soát nó.
[IOC]
- Behavior Detection
Connection/EDR.Behavior.M2650 Execution/MDP.Powershell.M10668
- File Detection
Downloader/Script.Generic Trojan/Win.Generic.R526355
- URL & C2
hxxps[:][/][/]cdn[.]pixelbin[.]io[/]v2[/]red-wildflower-1b0af4[/]original[/]hta[.]txt hxxp[:][/][/]195[.]178[.]120[.]24[/]investorbase64[.]txt
- MD5
43e75fb2283765ebacf10135f598e98c (.hta) 540d3bc5982322843934504ad584f370 (.dll)
Nguồn 🔗 Asec AhnLab
4. Phần mềm độc hại Chaes sử dụng Giao thức DevTools của Google Chrome để đánh cắp dữ liệu
Phần mềm độc hại Chaes đã quay trở lại dưới dạng một biến thể mới, tiên tiến hơn, bao gồm việc triển khai tùy chỉnh giao thức Google DevTools để truy cập trực tiếp vào các chức năng trình duyệt của nạn nhân, cho phép nó đánh cắp dữ liệu bằng WebSockets.
Phần mềm độc hại xuất hiện lần đầu tiên vào tháng 11 năm 2020, nhắm mục tiêu vào các khách hàng thương mại điện tử ở Châu Mỹ Latinh. Hoạt động của nó mở rộng đáng kể vào cuối năm 2021 khi Avast quan sát thấy nó sử dụng 800 trang web WordPress bị xâm nhập để phát tán phần mềm độc hại.
Khi bị lây nhiễm, Chaes cài đặt các tiện ích mở rộng độc hại trong trình duyệt Chrome của nạn nhân để thiết lập khả năng tồn tại, chụp ảnh màn hình, đánh cắp mật khẩu và thẻ tín dụng đã lưu, lọc cookie và chặn thông tin xác thực ngân hàng trực tuyến.
Phiên bản Chaes mới được Morphisec phát hiện vào tháng 1 năm 2023, nhắm mục tiêu chủ yếu vào các nền tảng như Mercado Libre, Mercado Pago, WhatsApp Web, Itau Bank, Caixa Bank, MetaMask và nhiều dịch vụ CMS như WordPress và Joomla.
Chuỗi lây nhiễm trong chiến dịch mới nhất vẫn giống như những chuỗi đã thấy trước đây, liên quan đến các trình cài đặt MSI lừa đảo gây ra lây nhiễm nhiều bước sử dụng bảy module riêng biệt thực hiện các chức năng khác nhau.
Chaes v4
Biến thể Chaes mới nhất có những cải tiến toàn diện, giúp chức năng của phần mềm độc hại trở nên lén lút và hiệu quả hơn.
Morphisec nêu bật những thay đổi sau trong bản phát hành Chaes mới nhất:
- Kiến trúc mã được cải tiến.
- Nhiều lớp mã hóa và kỹ thuật tàng hình được cải tiến.
- Chuyển sang Python để giải mã và thực thi trong bộ nhớ.
- Thay thế 'Puppeteer' để theo dõi hoạt động của trình duyệt Chrome bằng Chrome DevTools.
- Mở rộng các dịch vụ có mục tiêu nhằm đánh cắp thông tin xác thực.
- Sử dụng WebSockets để liên lạc giữa các mô-đun của phần mềm độc hại và máy chủ C2 thay vì HTTP.
- Triển khai DGA (thuật toán tạo miền) để phân giải địa chỉ máy chủ C2 động.
Puppeteer là thư viện Node.js cung cấp API cấp cao để kiểm soát Chrome ở chế độ headless (ẩn với người dùng), được Avast ghi lại vào năm ngoái như một phần của hai tiện ích mở rộng mà Chaes cài đặt trên trình duyệt của các thiết bị vi phạm.
Tuy nhiên, một tính năng mới nổi bật là việc Chaes sử dụng Giao thức Chrome DevTools để đánh cắp dữ liệu từ trình duyệt web, bao gồm sửa đổi trang web theo thời gian thực, thực thi mã JavaScript, gỡ lỗi, quản lý yêu cầu mạng, quản lý bộ nhớ, cookie. và quản lý bộ đệm, v.v.
Morphisec giải thích : “Thay vì đợi người dùng mở dịch vụ được nhắm mục tiêu, module này sẽ chủ động mở trang web của dịch vụ và đánh cắp dữ liệu liên quan – tất cả được thực hiện bằng cách tận dụng Giao thức DevTools của Google” .
"Mỗi tác vụ sẽ mở tab riêng và hiển thị các chức năng liên quan trong module sẽ được thực thi thông qua mã JavaScript được chèn vào."
"Sau khi thiết lập dữ liệu và chức năng liên quan, module sẽ điều hướng đến URL được nhắm mục tiêu, tạo ra sự kiện Page.loadEventFired kích hoạt việc chèn JavaScript vào URL được điều hướng."
Chaes tự động lặp lại quy trình tương tự cho tất cả các URL mà module đánh cắp được định cấu hình để lấy cắp dữ liệu.
Việc áp dụng giao tiếp WebSockets là một thay đổi lớn khác trong module 'Chrautos', chịu trách nhiệm liên lạc C2 và đánh cắp dữ liệu từ WhatsApp Web thông qua việc tiêm JavaScript.
WebSockets hỗ trợ liên lạc liên tục để trao đổi dữ liệu theo thời gian thực, độ trễ thấp, có thể truyền cả dữ liệu văn bản và dữ liệu nhị phân, không yêu cầu bộ nhớ đệm hoặc ủy quyền yêu cầu và thường lén lút hơn HTTP.
Morphisec báo cáo rằng tất cả các tin nhắn được trao đổi giữa C2 và ứng dụng khách chứa phần mềm độc hại đều được định dạng JSON, mã hóa base64 và mã hóa AES.
Chaes là trường hợp phần mềm độc hại đáng chú ý đầu tiên có tính năng triển khai tùy chỉnh giao thức DevTools của Google Chrome để thực hiện các hoạt động độc hại trên các hệ thống bị nhiễm, điều này nhấn mạnh bản chất hung hãn của nó.
Morphisec cho biết họ đã thấy nhiều dấu hiệu cho thấy các mô-đun của phần mềm độc hại đang được phát triển tích cực, do đó chức năng của chúng có thể sớm được mở rộng và nâng cao.
Nguồn 🔗 BleepingComputer
5. Bộ W3LL phishing chiếm đoạt hàng nghìn tài khoản Microsoft 365, vượt qua MFA
Kẻ đe dọa có tên W3LL đã phát triển một bộ công cụ lừa đảo có thể vượt qua xác thực đa yếu tố cùng với các công cụ khác nhằm xâm phạm hơn 8.000 tài khoản công ty Microsoft 365.
Trong 10 tháng, các nhà nghiên cứu bảo mật đã phát hiện ra rằng các tiện ích và cơ sở hạ tầng của W3LL đã được sử dụng để thiết lập khoảng 850 hành vi lừa đảo nhắm mục tiêu thông tin xác thực của hơn 56.000 tài khoản Microsoft 365.
Phát triển kinh doanh
Phục vụ một cộng đồng gồm ít nhất 500 tội phạm mạng, các công cụ lừa đảo tùy chỉnh của W3LL đã được sử dụng trong các cuộc tấn công xâm phạm email doanh nghiệp (BEC) gây thiệt hại tài chính hàng triệu đô la Mỹ.
Các nhà nghiên cứu nói rằng kho lưu trữ của W3LL bao gồm gần như toàn bộ chuỗi tiêu diệt của hoạt động BEC và có thể được vận hành bởi “tội phạm mạng thuộc mọi cấp độ kỹ năng kỹ thuật”.
Group-IB cung cấp thông tin chi tiết về W3LL và cách nó trở thành một trong những nhà phát triển phần mềm độc hại tiên tiến nhất cho các nhóm BEC.
Bằng chứng đầu tiên về hoạt động của W3LL dường như là từ năm 2017 khi nhà phát triển bắt đầu cung cấp một công cụ tùy chỉnh để gửi email hàng loạt có tên là W3LL SMTP Sender, vốn được sử dụng để gửi thư rác.
Sự nổi tiếng và công việc kinh doanh của kẻ đe dọa này bắt đầu phát triển khi bắt đầu bán một bộ công cụ lừa đảo tùy chỉnh tập trung vào các tài khoản công ty Microsoft 365.
Các nhà nghiên cứu cho biết, vào năm 2018, W3LL đã ra mắt W3LL Store, một thị trường nói tiếng Anh, nơi họ có thể quảng bá và bán các công cụ của mình cho một cộng đồng tội phạm mạng khép kín.
Vũ khí chính của W3LL, W3LL Panel, có thể được coi là một trong những công cụ lừa đảo tiên tiến nhất trong phân khúc, có chức năng chống adversary-in-the-middle, API, bảo vệ mã nguồn và các khả năng độc đáo khác
Kho vũ khí W3LL cho các cuộc tấn công BEC
Ngoài W3LL Panel, được thiết kế để vượt qua xác thực đa yếu tố (MFA), kẻ tấn công còn cung cấp thêm 16 công cụ, tất cả đều được thiết kế cho các cuộc tấn công BEC. Danh mục bao gồm:
- Người gửi SMTP PunnySender và Người gửi W3LL
- Trình tạo liên kết độc hại W3LL Redirect
- Trình quét lỗ hổng có tên OKELO
- Tiện ích khám phá tài khoản tự động mang tên CONTOOL
- Trình xác thực email có tên LOMPAT
Theo Group-IB, W3LL Store cung cấp các giải pháp triển khai cuộc tấn công BEC từ giai đoạn đầu chọn nạn nhân, dụ dỗ lừa đảo bằng các tệp đính kèm được vũ khí hóa (mặc định hoặc tùy chỉnh), cho đến khởi chạy các email lừa đảo gửi đến hộp thư đến của nạn nhân.
Các nhà nghiên cứu nói rằng W3LL có đủ kỹ năng để bảo vệ các công cụ của nó không bị phát hiện hoặc gỡ bỏ bằng cách triển khai và lưu trữ chúng trên các máy chủ và dịch vụ web bị xâm nhập.
Tuy nhiên, khách hàng cũng có tùy chọn sử dụng trình quét OKELO của W3LL để tìm các hệ thống dễ bị tấn công và tự mình truy cập vào chúng.
Chuỗi tiêu diệt tấn công BEC sử dụng công cụ của W3LL
Bỏ qua các bộ lọc và tác nhân bảo mật
Một số kỹ thuật mà W3LL sử dụng để vượt qua các bộ lọc email và tác nhân bảo mật bao gồm các phương pháp làm xáo trộn khác nhau đối với tiêu đề email và nội dung văn bản (Punycode, thẻ HTML, hình ảnh, liên kết có nội dung từ xa).
Các liên kết lừa đảo ban đầu cũng được phân phối bằng nhiều phương pháp nhằm tránh bị phát hiện. Một là thông qua các tệp đính kèm lừa đảo thay vì nhúng chúng vào nội dung email.
Các nhà nghiên cứu phát hiện ra rằng liên kết được đặt trong một tệp HTML dưới dạng tệp đính kèm. Khi nạn nhân khởi chạy HTML độc hại, có thể được ngụy trang dưới dạng tài liệu hoặc tin nhắn thoại, một cửa sổ trình duyệt sẽ mở ra với “hoạt ảnh MS Outlook trông giống thật”.
Đây là trang lừa đảo W3LL Panel sẵn sàng thu thập thông tin xác thực tài khoản Microsoft 365.
Phân tích tệp đính kèm lừa đảo W3LL được phát hiện ngoài thực tế, Group-IB nhận thấy rằng đó là một tệp HTML hiển thị một trang web trong iframe bằng cách sử dụng JavaScript được làm xáo trộn thông qua mã hóa base64.
Tệp đính kèm lừa đảo W3LL được quan sát thấy trong thực tế
Trong phiên bản mới hơn, được cập nhật vào cuối tháng 6, W3LL đã bổ sung thêm nhiều lớp mã hóa và che giấu. Nó tải tập lệnh trực tiếp từ Bảng điều khiển W3LL thay vì đưa nó vào mã HTML.
Chuỗi sự kiện cho biến thể gần đây hơn
Chiếm đoạt tài khoản công ty Microsoft 365
Các nhà nghiên cứu của Group-IB giải thích rằng liên kết ban đầu trong mồi nhử lừa đảo không dẫn đến trang đăng nhập Microsoft 365 giả mạo trong Bảng điều khiển W3LL và nó chỉ là bước khởi đầu của chuỗi chuyển hướng nhằm ngăn chặn việc phát hiện các trang lừa đảo của Bảng điều khiển W3LL.
Để W3LL xâm phạm tài khoản Microsoft 365, nó sử dụng kỹ thuật adversary/man-in-the-middle (AitM/MitM), trong đó giao tiếp giữa nạn nhân và máy chủ Microsoft đi qua W3LL Panel và W3LL Store hoạt động như một chương trình phụ trợ hệ thống.
Mục tiêu là lấy cookie phiên xác thực của nạn nhân. Để điều này xảy ra, W3LL Panel cần phải trải qua một số bước, bao gồm:
- Vượt qua xác minh CAPTCHA
- Thiết lập đúng trang đăng nhập giả mạo
- Xác thực tài khoản của nạn nhân
- Có được nhận diện thương hiệu của tổ chức mục tiêu
- Nhận cookie cho quá trình đăng nhập
- Xác định loại tài khoản
- Xác thực mật khẩu
- Lấy mật mã một lần (OTP)
- Nhận cookie phiên xác thực
Sau khi W3LL Panel nhận được cookie phiên xác thực, tài khoản sẽ bị xâm phạm và nạn nhân được hiển thị một tài liệu PDF để khiến yêu cầu đăng nhập có vẻ hợp pháp.
Giai đoạn khám phá tài khoản
Bằng cách sử dụng CONTOOL, kẻ tấn công có thể tự động hóa việc tìm kiếm email, số điện thoại, tệp đính kèm, tài liệu hoặc URL mà nạn nhân đã sử dụng, điều này có thể trợ giúp cho giai đoạn di chuyển ngang.
Công cụ này cũng có thể giám sát, lọc và sửa đổi các email đến cũng như nhận thông báo trong tài khoản Telegram dựa trên các từ khóa cụ thể.
Theo Group-IB, kết quả điển hình của một cuộc tấn công như vậy là:
- Trộm cắp dữ liệu
- Hóa đơn giả có thông tin thanh toán của kẻ tấn công
- Mạo danh dịch vụ chuyên nghiệp để gửi yêu cầu thanh toán lừa đảo cho khách hàng
- Lừa đảo BEC cổ điển - tiếp cận giám đốc điều hành cấp cao và thay mặt họ hướng dẫn nhân viên thực hiện chuyển khoản hoặc mua hàng
- Phát tán phần mềm độc hại
Kiếm tiền
Báo cáo của Group-IB đi sâu vào chức năng của W3LL Panel, mô tả ở cấp độ kỹ thuật cách thức hoạt động của một số tính năng để đạt được mục tiêu đã định, có thể là tránh bị phát hiện hoặc thu thập dữ liệu.
W3LL Panel có giá 500 USD trong ba tháng và giá gia hạn hàng tháng là 150 USD. Giấy phép để kích hoạt nó cũng phải được mua.
Dưới đây là trang mua bộ công cụ và bảng quản trị:
Kẻ đe dọa W3LL đã tồn tại được khoảng 5 năm và đã tích lũy được cơ sở khách hàng gồm hơn 500 tội phạm mạng có hơn 12.000 mặt hàng trong cửa hàng để lựa chọn.
Ngoài các công cụ lừa đảo và liên quan đến BEC, W3LL còn cung cấp quyền truy cập vào các dịch vụ web bị xâm phạm (web shell, email, hệ thống quản lý nội dung) và máy chủ SSH và RDP, tài khoản dịch vụ lưu trữ và đám mây, miền email doanh nghiệp, tài khoản VPN và tài khoản email bị tấn công. .
Các nhà nghiên cứu của Group-IB cho biết từ tháng 10 năm 2022 đến tháng 7 năm 2023, W3LL đã bán được hơn 3.800 mặt hàng, đạt doanh thu ước tính vượt quá 500.000 USD.
Báo cáo của Group-IB
Nguồn 🔗 BleepingComputer
6. Cảnh báo: Chiến dịch lừa đảo cung cấp biến thể SideTwist Backdoor và Agent Tesla mới
Tác nhân đe dọa Iran được theo dõi là APT34 có liên quan đến một cuộc tấn công lừa đảo mới dẫn đến việc triển khai một biến thể của backdoor có tên SideTwist .
“APT34 có công nghệ tấn công cấp cao, có thể thiết kế các phương thức xâm nhập khác nhau cho các loại mục tiêu khác nhau và có khả năng tấn công chuỗi cung ứng”, NSFOCUS Security Labs cho biết trong một báo cáo.
APT34, còn được biết đến với cái tên Cobalt Gypsy, Hazel Sandstorm (trước đây là Europium), Helix Kitten và OilRig, nhắm mục tiêu vào các ngành dọc dịch vụ viễn thông, chính phủ, quốc phòng, dầu mỏ và tài chính ở Trung Đông kể từ ít nhất là năm 2014 thông qua spear-phishing mà đỉnh điểm là việc triển khai nhiều backdoor khác nhau.
Một trong những đặc điểm chính của nhóm hack là khả năng tạo ra các công cụ mới và cập nhật để giảm thiểu khả năng bị phát hiện và giành được chỗ đứng trên các máy chủ bị xâm nhập trong thời gian dài.
SideTwist lần đầu tiên được ghi nhận là được APT34 sử dụng vào tháng 4 năm 2021, với Check Point mô tả nó như một bộ cấy có khả năng tải xuống/tải lên tệp và thực thi lệnh.
Chuỗi tấn công được NSFOCUS xác định bắt đầu bằng một tài liệu Microsoft Word mồi nhử được nhúng trong một macro độc hại, sau đó, macro này trích xuất và khởi chạy tải trọng được mã hóa Base64 được lưu trữ trong tệp.
Tải trọng là một biến thể của SideTwist được biên dịch bằng GCC và thiết lập liên lạc với máy chủ từ xa (11.0.188[.]38) để nhận thêm lệnh.
Sự phát triển này diễn ra khi Fortinet FortiGuard Labs phát hiện ra một chiến dịch lừa đảo phát tán một biến thể Agent Tesla mới bằng cách sử dụng tài liệu Microsoft Excel được chế tạo đặc biệt để khai thác CVE-2017-11882 , một lỗ hổng hỏng bộ nhớ sáu năm tuổi trong Equation Editor của Microsoft Office và CVE -2018-0802.
Nhà nghiên cứu bảo mật Xiaopeng Zhang cho biết : “Module lõi Agent Tesla thu thập thông tin nhạy cảm từ thiết bị của nạn nhân” . “Thông tin này bao gồm thông tin xác thực đã lưu của một số phần mềm, thông tin keylogging của nạn nhân và ảnh chụp màn hình.”
Theo dữ liệu được chia sẻ bởi công ty an ninh mạng Qualys, CVE-2017-11882 vẫn là một trong những lỗ hổng được ưa chuộng nhất cho đến nay , bị khai thác bởi “467 phần mềm độc hại, 53 tác nhân đe dọa và 14 phần mềm ransomware” tính đến ngày 31 tháng 8 năm 2023.
Nó cũng theo sau việc phát hiện ra một cuộc tấn công lừa đảo khác được phát hiện là sử dụng mồi nhử tệp hình ảnh ISO để khởi chạy các chủng phần mềm độc hại như Agent Tesla, LimeRAT và Remcos RAT trên các máy chủ bị nhiễm.
Nguồn 🔗 TheHackerNews
7. Tin tặc sử dụng ChatGPT để tạo ra các mối đe dọa phần mềm độc hại và kỹ thuật xã hội
Large language models (LLMs) và AI đang phát triển nhanh chóng trên toàn cầu, mang lại tiện ích to lớn nhưng cũng gây ra mối lo ngại về việc lạm dụng.
Bên cạnh những rủi ro tiềm ẩn, vẫn đánh giá cao giá trị của AI trong các ứng dụng hợp pháp.
Các nhà nghiên cứu an ninh mạng tại Nhóm tình báo mối đe dọa của Avast gần đây đã báo cáo rằng tin tặc đang tích cực lạm dụng ChatGPT để tạo ra phần mềm độc hại và các mối đe dọa kỹ thuật xã hội.
Hacker lợi dụng ChatGPT
Trong thời gian gần đây, các trò lừa đảo do AI điều khiển đang gia tăng, khiến tội phạm mạng hoặc các tác nhân đe dọa dễ dàng tạo ra những chiêu dụ thuyết phục như:
- Lừa đảo xã hội
- Đánh giá cửa hàng điện tử
- Lừa đảo qua SMS
- Email lừa đảo xổ số
Các mối đe dọa gia tăng sử dụng công nghệ tiên tiến và kịch bản này đang định hình lại công nghệ AI, phản ánh sự lạm dụng trong các lĩnh vực như:
- Tiền điện tử
- COVID-19
- Xung đột Ukraine
Sự nổi tiếng của ChatGPT thu hút các hacker vì sự nổi tiếng của nó hơn là âm mưu của AI, khiến nó trưởng thành trong việc khám phá các tác phẩm của mình.
Hiện tại, ChatGPT không phải là công cụ tất cả trong một dành cho các cuộc tấn công lừa đảo nâng cao. Những kẻ tấn công thường yêu cầu các mẫu, bộ công cụ và công việc thủ công để khiến nỗ lực của chúng trở nên thuyết phục. Các mô hình đa loại, như LlamaIndex, có thể nâng cao các chiến dịch lừa đảo và lừa đảo trong tương lai với nội dung đa dạng.
TTP & Phương tiện
Tất cả các TTP và phương tiện được những kẻ đe dọa sử dụng để lạm dụng ChatGPT:
- Quảng cáo độc hại
- Lừa đảo trên YouTube
- Đánh máy
- Tiện ích mở rộng trình duyệt
- Trình cài đặt
- Cracks
- Cập nhật giả mạo
LLM cho các mối đe dọa phần mềm độc hại và kỹ thuật xã hội
LLM đơn giản hóa việc tạo mã độc nhưng vẫn cần một số kiến thức chuyên môn. Các công cụ phần mềm độc hại chuyên dụng có thể làm phức tạp quá trình bằng cách trốn tránh các biện pháp bảo mật.
Việc tạo lời nhắc về phần mềm độc hại LLM đòi hỏi độ chính xác và chuyên môn kỹ thuật, cùng với các hạn chế về độ dài lời nhắc và các bộ lọc bảo mật nhằm hạn chế độ phức tạp.
Công nghệ AI đã thay đổi đáng kể các chiến thuật spam, trong đó các spambot vô tình lộ diện bằng cách chia sẻ thông báo lỗi của ChatGPT, làm nổi bật sự hiện diện của chúng.
Đáng chú ý, các spambot hiện khai thác đánh giá của người dùng bằng cách sao chép phản hồi ChatGPT, nhằm mục đích tăng cường phản hồi và xếp hạng sản phẩm một cách lừa đảo.
Điều này nhấn mạnh sự cần thiết phải cảnh giác trong các tương tác kỹ thuật số vì các đánh giá bị thao túng sẽ đánh lừa người tiêu dùng mua các sản phẩm chất lượng thấp hơn.
Những kẻ xấu có thể phá vỡ các bộ lọc của ChatGPT nhưng việc này rất tốn thời gian. Họ thường sử dụng các công cụ tìm kiếm truyền thống hoặc phần mềm độc hại chỉ dành cho mục đích giáo dục trên GitHub.
Bên cạnh đó, Deepfakes còn được hỗ trợ bởi AI , vốn gây ra những mối đe dọa đáng kể, tạo ra các video thuyết phục và gây thiệt hại cho danh tiếng, niềm tin của công chúng và thậm chí cả an ninh cá nhân.
Kịch bản tích cực
Các nhà phân tích bảo mật có thể sử dụng ChatGPT để tạo các quy tắc phát hiện hoặc làm rõ các quy tắc hiện có, hỗ trợ cả người mới bắt đầu và nhà phân tích có kinh nghiệm trong việc nâng cao các công cụ phát hiện mẫu như:
- Yara
- Suricata
- Sigma
Công cụ trợ lý dựa trên AI
Có một số dự án tích hợp trợ lý AI dựa trên LLM , nâng cao năng suất trong nhiều nhiệm vụ khác nhau, từ công việc văn phòng đến công việc kỹ thuật.
Trợ lý AI hỗ trợ các nhà phân tích phần mềm độc hại bằng cách đơn giản hóa việc hiểu cụm, phân tích mã và gỡ lỗi, hợp lý hóa các nỗ lực kỹ thuật đảo ngược.
Các công cụ trợ lý dựa trên AI đã biết:
- Gepetto cho IDA Pro
- Windbg Copilot
- GitHub Copilot
- Microsoft Security Copilot
- PentestGPT
- BurpGPT
Khuyến nghị
Các khuyến nghị do các nhà nghiên cứu bảo mật đưa ra:
- Hãy thận trọng với những lời đề nghị không thể tin được.
- Đảm bảo xác minh nhà xuất bản và đánh giá.
- Luôn hiểu rõ sản phẩm bạn mong muốn.
- Không sử dụng phần mềm crack.
- Báo cáo hoạt động đáng ngờ.
- Cập nhật phần mềm của bạn thường xuyên.
- Hãy tin tưởng nhà cung cấp dịch vụ an ninh mạng của bạn.
- Tự giáo dục là rất quan trọng.
Nguồn 🔗 CyberSecurityNews
8. Tin tặc sử dụng các tệp Weaponized LNK để triển khai phần mềm độc hại RedEyes
AhnLab Security Emergency Response Center (ASEC) đã đưa ra cảnh báo về mối đe dọa bảo mật đáng kể liên quan đến việc phát tán các tệp LNK độc hại.
Mối đe dọa này, được gọi là RedEyes (ScarCruft), đã chuyển từ định dạng CHM sang định dạng LNK , đặt ra những thách thức mới cho các chuyên gia an ninh mạng.
Phần mềm độc hại thực thi các tập lệnh bổ sung có tại các URL cụ thể thông qua quy trình mshta.
Những tập lệnh này sau đó được sử dụng để thực hiện các hoạt động độc hại khác nhau dưới sự chỉ huy của kẻ đe dọa.
Vấn đề còn phức tạp hơn nữa khi các tệp LNK độc hại này đang được phân phối thông qua các trang web có vẻ bình thường bằng cách gói chúng trong các tệp nén.
Các tệp LNK, có tên như 'REPORT.ZIP', chứa sự kết hợp giữa dữ liệu tài liệu Excel thông thường và mã tập lệnh độc hại được che giấu.
Khi được thực thi, chúng tạo ra một tài liệu 'Status Survey Table.xlsx' có vẻ được cân nhắc kỹ lưỡng đồng thời chạy tập lệnh ẩn 'PMmVvG56FLC9y.bat' trong thư mục %Temp% thông qua các lệnh PowerShell.
'Status Survey Table.xlsx' được thiết kế cẩn thận để xuất hiện dưới dạng tài liệu Excel hợp pháp, thậm chí mạo danh một tổ chức công của Hàn Quốc.
Trong khi đó, 'PMmVvG56FLC9y.bat' được sao chép thành 'UserProfileSafeBackup.bat' trong thư mục '%appdata%\Microsoft\Protect\' và được đăng ký trong registry Windows để thực thi liên tục.
Cơ sở hạ tầng command and control ( C2 ) của kẻ tấn công bao gồm các URL độc hại như 'hxxp://75.119.136[.]207/config/bases/config.php?U=[COMPUTERNAME]-[USERNAME]-SH,' nhận lệnh từ các tác nhân đe dọa và 'hxxp://75.119.136.207/config/bases/config.php?R=['EOF' được mã hóa trong base64]', truyền kết quả thực thi lệnh.
Ngoài ra, 'hxxp://bian0151.cafe24[.]com/admin/board/1.html' được sử dụng để tải xuống các mã tập lệnh bổ sung.
Các lệnh PowerShell được giải mã tiết lộ một loạt chức năng, bao gồm thu thập thông tin PC, quản lý ổ đĩa, giám sát nội dung clipboard, theo dõi các tiến trình đang chạy, xử lý tệp, thực thi lệnh, downloading/uploading file, chỉnh sửa registry.
Kẻ đe dọa liên tục sửa đổi mã script, khiến việc dự đoán hành động trong tương lai của chúng trở nên khó khăn.
Tình huống này nhấn mạnh sự cần thiết phải nâng cao cảnh giác an ninh mạng. Người dùng được khuyên nên tránh thực thi các tệp LNK lớn từ các nguồn không xác định, do kích thước tệp tăng lên vượt quá 10 MB.
Báo cáo của ASEC
Nguồn 🔗 gbhackers
9. Người dùng mac: Chiến dịch quảng cáo độc hại phát tán phần mềm độc hại Atomic Stealer macOS
Một chiến dịch quảng cáo độc hại mới đang phân phối phiên bản cập nhật của phần mềm độc hại đánh cắp macOS có tên là Atomic Stealer (hoặc AMOS).
Một phần mềm độc hại Golang có sẵn với giá 1.000 USD mỗi tháng, Atomic Stealer lần đầu tiên được phát hiện vào tháng 4 năm 2023. Ngay sau đó, các biến thể mới với bộ tính năng thu thập thông tin mở rộng đã được phát hiện trong tự nhiên, nhắm mục tiêu vào các game thủ và người dùng tiền điện tử.
Quảng cáo độc hại thông qua Google Ads được coi là vectơ phân phối chính trong đó người dùng tìm kiếm phần mềm phổ biến, hợp pháp hoặc bị bẻ khóa, trên các công cụ tìm kiếm sẽ hiển thị các quảng cáo không có thật hướng đến các trang web lưu trữ trình cài đặt lừa đảo.
Chiến dịch mới nhất liên quan đến việc sử dụng một trang web lừa đảo cho TradingView, nổi bật là có ba nút tải xuống phần mềm cho hệ điều hành Windows, macOS và Linux.
Malwarebytes, cho biết : “Cả hai nút Windows và Linux đều trỏ đến trình cài đặt MSIX được lưu trữ trên Discord làm giảm NetSupport RAT” .
macOS payload ("TradingView.dmg") là phiên bản mới của Atomic Stealer được phát hành vào cuối tháng 6, được gói trong một ứng dụng có chữ ký đặc biệt, sau khi được thực thi sẽ nhắc người dùng nhập mật khẩu của họ trên một lời nhắc giả mạo và thu thập các tệp cũng như dữ liệu được lưu trữ trong iCloud Keychain và trình duyệt web.
SentinelOne đã lưu ý trước đó vào tháng 5 năm 2023: “Atomic stealer cũng nhắm mục tiêu vào cả trình duyệt Chrome và Firefox, đồng thời có một danh sách mở rộng được mã hóa cứng gồm các tiện ích mở rộng trình duyệt liên quan đến tiền điện tử để tấn công”.
Mục tiêu cuối cùng của kẻ tấn công là vượt qua các biện pháp bảo vệ của Gatekeeper trong macOS và lấy thông tin bị đánh cắp đến máy chủ do chúng kiểm soát.
Sự phát triển này diễn ra khi macOS ngày càng trở thành mục tiêu của các cuộc tấn công bằng phần mềm độc hại, với một số kẻ đánh cắp thông tin dành riêng cho macOS xuất hiện để rao bán trên các diễn đàn phần mềm tội phạm trong những tháng gần đây để tận dụng sự sẵn có rộng rãi của hệ thống Apple trong các tổ chức.
Segura cho biết: “Mặc dù phần mềm độc hại trên Mac thực sự tồn tại nhưng nó có xu hướng ít bị phát hiện hơn so với Windows”. "Nhà phát triển hoặc người bán AMOS thực sự đã coi đó là một lợi thế để bán bộ công cụ của họ có khả năng tránh bị phát hiện."
Atomic Stealer không phải là phần mềm độc hại duy nhất được phát tán thông qua các chiến dịch đầu độc quảng cáo độc hại và tối ưu hóa công cụ tìm kiếm (SEO) , vì đã xuất hiện bằng chứng cho thấy DarkGate (hay còn gọi là MehCrypter ) bám vào cùng một cơ chế phân phối.
Các phiên bản mới của DarkGate kể từ đó đã được sử dụng trong các cuộc tấn công do các tác nhân đe dọa thực hiện bằng các chiến thuật tương tự như Scattered Spider.
Nguồn 🔗 TheHackerNews