VCCSEC Blog
🌙
News

Tin tức An toàn thông tin - Tuần 2 - Tháng 9 - 2023

date
Sep 11, 2023
slug
tin-tuc-attt-tuan-2-thang-9-nam-2023
author
status
Public
tags
Github
Git
Docs
Blog
Daily
Malware
Ransomware
News
summary
Tổng hợp các tin tức an toàn thông tin trong tuần 2 tháng 9 - 2023 (11/9-16/9)
type
Post
thumbnail
heatmap.webp
category
News
updatedAt
Jun 24, 2025 03:07 AM
1. Hàng triệu người bị lây nhiễm bởi phần mềm gián điệp ẩn trong ứng dụng Telegram giả mạo trên Google Play2. Phishing trên Facebook Messenger để đánh cắp tài khoản được hacker VietNam triển khai dựa trên Python3. Lỗ hổng nghiêm trọng trên GitHub khiến hơn 4.000 kho lưu trữ bị tấn công Repojacking4. Ransomware đánh cắp tài khoản thông qua lừa đảo Microsoft Teams5. Malware ‘MetaStealer’ nhắm mục tiêu vào hệ thống macOS dựa trên Intel6. Microsoft phát hiện lỗ hổng trong thư viện ncurses ảnh hưởng đến hệ thống Linux và macOS7. Chiến dịch lừa đảo tinh vi được triển khai trên Agent Tesla, OriginBotnet và RedLine Clipper

1. Hàng triệu người bị lây nhiễm bởi phần mềm gián điệp ẩn trong ứng dụng Telegram giả mạo trên Google Play

notion image
Một số bản sao Telegram độc hại dành cho Android trên Google Play đã được cài đặt hơn 60.000 lần, lây nhiễm phần mềm gián điệp cho mọi người nhằm đánh cắp tin nhắn, danh sách liên hệ và dữ liệu khác của người dùng.
Các ứng dụng này dường như được thiết kế riêng cho người dùng nói tiếng Trung Quốc và người dân tộc thiểu số Duy Ngô Nhĩ.
Các ứng dụng Telegram được trình bày trong báo cáo của Kaspersky được quảng cáo là những lựa chọn thay thế "nhanh hơn" cho ứng dụng thông thường.
Hoạt động này đã được công ty an ninh mạng Nga đặt tên mã là Evil Telegram .
Các ứng dụng này đã được tải xuống tổng cộng hàng triệu lần trước khi bị Google gỡ xuống. Chi tiết của họ như sau:
  • 電報,紙飛機-TG繁體中文版 hoặc 電報,小飛機-TG繁體中文版 (org.telegram.messenger.wab) - hơn 10 triệu lượt tải xuống
  • TG繁體中文版-電報,紙飛機 (org.telegram.messenger.wab) - 50.000+ lượt tải xuống
  • 电报,纸飞机-TG简体中文版 (org.telegram.messenger.wob) - Hơn 50.000 lượt tải xuống
  • 电报,纸飞机-TG简体中文版 (org.tgcn.messenger.wob) - Hơn 10.000 lượt tải xuống
  • ئۇيغۇر تىلى TG - تېلېگراما (org.telegram.messenger.wcb) - 100+ lượt tải xuống
Ứng dụng cuối cùng trong danh sách có nghĩa là "Telegram - TG Uyghur", cho thấy rõ ràng nỗ lực nhắm vào cộng đồng người Duy Ngô Nhĩ.
Các ví dụ hiển thị trong báo cáo có hơn 60.000 lượt cài đặt, vì vậy chiến dịch có mức thành công vừa phải trong việc tiếp cận nhóm mục tiêu tiềm năng.
Một trong những ứng dụng độc hại trên Google Play (Kaspersky)
Một trong những ứng dụng độc hại trên Google Play (Kaspersky)
Tên package được liên kết với phiên bản Play Store của Telegram là "org.telegram.messenger", trong khi tên package cho tệp APK được tải xuống trực tiếp từ trang web của Telegram là "org.telegram.messenger.web."
Do đó, việc sử dụng "wab", "wcb" và "wob" cho các tên gói độc hại, làm nổi bật sự phụ thuộc của tác nhân đe dọa vào các kỹ thuật đánh máy để mạo danh ứng dụng Telegram hợp pháp và lọt vào tầm ngắm.
Các nhà phân tích bảo mật báo cáo rằng các ứng dụng này bề ngoài giống với Telegram ban đầu nhưng chứa các chức năng bổ sung trong mã để đánh cắp dữ liệu.
Cụ thể, có một gói bổ sung có tên 'com. wsys' truy cập danh bạ của người dùng và cũng thu thập tên người dùng, ID người dùng và số điện thoại của nạn nhân.
Hàm gọi thư viện com.wsys đáng ngờ
Hàm gọi thư viện com.wsys đáng ngờ
Danh sách các hàm gọi com.wsys gợi ý rằng đoạn mã này có nghĩa là có quyền truy cập vào danh bạ của người dùng. Ít nhất thì có vẻ khó tin vì gói này không phải là một phần của bộ tính năng tiêu chuẩn của trình nhắn tin.
connectSocket()
connectSocket()
Khi người dùng nhận được tin nhắn thông qua ứng dụng bị nhiễm trojan, phần mềm gián điệp sẽ gửi một bản sao thẳng đến máy chủ chỉ huy và kiểm soát (C2) của nhà điều hành tại "sg[.]telegrnm[.]org"
Chặn tin nhắn đến (Kaspersky)
Chặn tin nhắn đến (Kaspersky)
Dữ liệu đã lọc, được mã hóa trước khi truyền, chứa nội dung tin nhắn, tiêu đề và ID kênh/trò chuyện cũng như tên và ID của người gửi. Thông tin được thu thập sau đó sẽ được mã hóa và lưu vào bộ nhớ đệm vào một tệp tạm thời có tên tgsync.s3. Ứng dụng sẽ gửi tệp tạm thời này đến máy chủ lệnh theo những khoảng thời gian nhất định.
Mã hóa dữ liệu được lọc
Mã hóa dữ liệu được lọc
Ứng dụng phần mềm gián điệp cũng giám sát ứng dụng bị nhiễm để phát hiện các thay đổi đối với tên người dùng và ID của nạn nhân cũng như các thay đổi đối với danh sách liên hệ và nếu có bất kỳ thay đổi nào, nó sẽ thu thập thông tin cập nhật nhất.
Đánh cắp dữ liệu của bạn bè nạn nhân (Kaspersky)
Đánh cắp dữ liệu của bạn bè nạn nhân (Kaspersky)
Phần mềm gián điệp chính thức nhắm vào người dùng từ một địa phương cụ thể (Trung Quốc) và có khả năng đánh cắp toàn bộ thư từ, dữ liệu cá nhân và danh bạ của nạn nhân. Tuy nhiên, mã của họ chỉ khác một chút so với mã Telegram ban đầu để kiểm tra bảo mật Google Play một cách suôn sẻ.
IOC
Md5
[39df26099caf5d5edf264801a486e4ee](https://opentip.kaspersky.com/39df26099caf5d5edf264801a486e4ee/?utm_source=SL&utm_medium=SL&utm_campaign=SL)

[b9e9a29229a10deecc104654cb7c71ae](https://opentip.kaspersky.com/b9e9a29229a10deecc104654cb7c71ae/?utm_source=SL&utm_medium=SL&utm_campaign=SL)

[e0dab7efb9cea5b6a010c8c5fee1a285](https://opentip.kaspersky.com/e0dab7efb9cea5b6a010c8c5fee1a285/?utm_source=SL&utm_medium=SL&utm_campaign=SL)

[Efcbcd6a2166745153c329fd2d486b3a](https://opentip.kaspersky.com/Efcbcd6a2166745153c329fd2d486b3a/?utm_source=SL&utm_medium=SL&utm_campaign=SL)

[8e878695aab7ab16e38265c3a5f17970](https://opentip.kaspersky.com/8e878695aab7ab16e38265c3a5f17970/?utm_source=SL&utm_medium=SL&utm_campaign=SL)

[65377fa1d86351c7bd353b51f68f6b80](https://opentip.kaspersky.com/65377fa1d86351c7bd353b51f68f6b80/?utm_source=SL&utm_medium=SL&utm_campaign=SL)

[19f927386a03ce8d2866879513f37ea0](https://opentip.kaspersky.com/19f927386a03ce8d2866879513f37ea0/?utm_source=SL&utm_medium=SL&utm_campaign=SL)

[a0e197b9c359b89e48c3f0c01af21713](https://opentip.kaspersky.com/a0e197b9c359b89e48c3f0c01af21713/?utm_source=SL&utm_medium=SL&utm_campaign=SL)

[c7a8c3c78ac973785f700c537fbfcb00](https://opentip.kaspersky.com/c7a8c3c78ac973785f700c537fbfcb00/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
С&C
sg[.]telegrnm[.]org
Báo cáo của Kaspersky
Nguồn 🔗 TheHackerNews, BleepingComputer

2. Phishing trên Facebook Messenger để đánh cắp tài khoản được hacker VietNam triển khai dựa trên Python

Tin tặc sử dụng một mạng lưới lớn các tài khoản Facebook giả mạo và bị xâm nhập để gửi hàng triệu tin nhắn lừa đảo trên Messenger nhằm nhắm mục tiêu vào các tài khoản doanh nghiệp trên Facebook bằng phần mềm độc hại đánh cắp mật khẩu.
Những kẻ tấn công lừa mục tiêu tải xuống kho lưu trữ RAR/ZIP có chứa trình tải xuống dành cho kẻ đánh cắp dựa trên Python lẩn tránh để lấy cookie và mật khẩu được lưu trữ trong trình duyệt của nạn nhân.
Facebook Messenger phishing
Tin tặc bắt đầu bằng cách gửi tin nhắn lừa đảo trên Messenger tới các tài khoản doanh nghiệp trên Facebook giả vờ vi phạm bản quyền hoặc yêu cầu thêm thông tin về sản phẩm.
Tin nhắn lừa đảo trên Messenger (Guardio Labs)
Tin nhắn lừa đảo trên Messenger (Guardio Labs)
Kho lưu trữ đính kèm chứa một tệp batch mà nếu được thực thi sẽ tìm nạp dropper phần mềm độc hại từ kho lưu trữ GitHub để tránh danh sách chặn và giảm thiểu các dấu vết đặc biệt.
Cùng với tải trọng (project.py), tập lệnh batch cũng tìm nạp môi trường Python độc lập mà phần mềm độc hại đánh cắp thông tin yêu cầu và tăng cường khả năng tồn tại bằng cách đặt tệp nhị phân đánh cắp để thực thi khi khởi động hệ thống.
Tệp project.py có năm lớp che giấu, khiến các công cụ AV gặp khó khăn trong việc nắm bắt mối đe dọa.
Một phần mã của tải trọng (Guardio Labs)
Một phần mã của tải trọng (Guardio Labs)
Phần mềm độc hại thu thập tất cả cookie và dữ liệu đăng nhập được lưu trữ trên trình duyệt web của nạn nhân vào kho lưu trữ ZIP có tên 'Document.zip'. Sau đó, nó gửi thông tin bị đánh cắp cho những kẻ tấn công thông qua API bot Telegram hoặc Discord.
Cuối cùng, kẻ đánh cắp xóa tất cả cookie khỏi thiết bị của nạn nhân để đăng xuất khỏi tài khoản của họ, giúp những kẻ lừa đảo có đủ thời gian để chiếm đoạt tài khoản mới bị xâm nhập bằng cách thay đổi mật khẩu.
Vì các công ty truyền thông xã hội có thể mất một thời gian để phản hồi email về các tài khoản bị tấn công, nên điều này giúp kẻ đe dọa có thời gian để thực hiện các hoạt động lừa đảo với các tài khoản bị tấn công.
Chuỗi tấn công hoàn chỉnh (Guardio Labs)
Chuỗi tấn công hoàn chỉnh (Guardio Labs)
Mặc dù chuỗi tấn công không mới nhưng quy mô của chiến dịch mà Guardio Labs quan sát được là đáng báo động.
Các nhà nghiên cứu báo cáo có khoảng 100.000 tin nhắn lừa đảo mỗi tuần, chủ yếu được gửi tới người dùng Facebook ở Bắc Mỹ, Châu Âu, Úc, Nhật Bản và Đông Nam Á.
notion image
Guardio Labs báo cáo rằng quy mô của chiến dịch này đến mức khoảng 7% tổng số tài khoản doanh nghiệp của Facebook đã trở thành mục tiêu, với 0,4% đã tải xuống kho lưu trữ độc hại.
Để bị nhiễm phần mềm độc hại, người dùng vẫn phải thực thi tệp bó nên chưa xác định được số lượng tài khoản bị chiếm đoạt nhưng có thể rất đáng kể.
Sơ đồ kênh (Guardio Labs)
Sơ đồ kênh (Guardio Labs)
Liên kết với hacker Việt Nam
Guardio cho rằng chiến dịch này là do tin tặc Việt Nam thực hiện do các chuỗi trong phần mềm độc hại và việc sử dụng trình duyệt web "Cốc Cốc", mà các nhà nghiên cứu cho rằng rất phổ biến ở Việt Nam.
"Thông báo "Thu Spam lần thứ" gửi tới Telegram bot kèm theo bộ đếm thời gian thực hiện, dịch từ tiếng Việt là "Thu thập thư rác lần X".
Các nhóm đe dọa Việt Nam đã nhắm mục tiêu vào Facebook bằng các chiến dịch quy mô lớn trong năm nay, kiếm tiền từ các tài khoản bị đánh cắp chủ yếu bằng cách bán lại chúng thông qua Telegram hoặc thị trường web đen.
Vào tháng 5 năm 2023, Facebook  thông báo  họ đã phá vỡ một chiến dịch do Việt Nam khởi xướng nhằm triển khai phần mềm độc hại đánh cắp thông tin mới có tên 'NodeStealer' nhằm đánh cắp cookie của trình duyệt.
Vào tháng 4 năm 2023, Guardio Labs lại báo cáo về một kẻ đe dọa người Việt đã  lạm dụng  dịch vụ Quảng cáo của Facebook để lây nhiễm phần mềm độc hại đánh cắp thông tin cho khoảng nửa triệu người dùng.
Báo cáo của Guardio Labs
Nguồn 🔗 BleepingComputer, TheHackerNews

3. Lỗ hổng nghiêm trọng trên GitHub khiến hơn 4.000 kho lưu trữ bị tấn công Repojacking

Một phát hiện mới cho thấy một lỗ hổng mới được tiết lộ trong GitHub có thể khiến hàng nghìn kho lưu trữ có nguy cơ bị tấn công lại.
Nhà nghiên cứu bảo mật Elad Rapoport của Checkmarx cho biết trong một báo cáo kỹ thuật: Lỗ hổng “có thể cho phép kẻ tấn công khai thác tình trạng chạy đua trong quá trình tạo kho lưu trữ và đổi tên username của GitHub” .
“Việc khai thác thành công lỗ hổng này sẽ tác động đến cộng đồng nguồn mở bằng cách cho phép chiếm quyền điều khiển hơn 4.000 code packages bằng các ngôn ngữ như Go, PHP và Swift, cũng như các hành động GitHub.”
Sau khi tiết lộ có trách nhiệm vào ngày 1 tháng 3 năm 2023, nền tảng lưu trữ mã thuộc sở hữu của Microsoft đã giải quyết vấn đề này kể từ ngày 1 tháng 9 năm 2023.
Repojacking , viết tắt của repository hijacking, là một kỹ thuật trong đó tác nhân đe dọa có thể vượt qua cơ chế bảo mật bỏ qua không gian tên kho lưu trữ phổ biến và cuối cùng là kiểm soát kho lưu trữ.
Biện pháp bảo vệ này thực hiện là ngăn người dùng khác tạo kho lưu trữ có cùng tên với kho lưu trữ có hơn 100 bản sao tại thời điểm tài khoản người dùng của nó được đổi tên. Nói cách khác, sự kết hợp giữa tên người dùng và tên kho lưu trữ được coi là "đã ngừng hoạt động".
Nếu biện pháp bảo vệ này bị phá vỡ một cách tầm thường, nó có thể cho phép các tác nhân đe dọa tạo tài khoản mới có cùng tên người dùng và tải lên các kho lưu trữ độc hại, có khả năng dẫn đến các cuộc tấn công chuỗi cung ứng phần mềm.
notion image
Phương pháp mới do Checkmarx vạch ra tận dụng điều kiện chạy đua tiềm năng giữa việc tạo kho lưu trữ và đổi tên tên người dùng để đạt được khả năng tái kích hoạt. Cụ thể, nó đòi hỏi các bước sau:
  1. Nạn nhân sở hữu không gian tên "victim_user/repo"
  1. Nạn nhân đổi tên "victim_user" thành "renamed_user"
  1. Kho lưu trữ "victim_user/repo" hiện đã ngừng hoạt động
  1. Kẻ đe dọa có tên người dùng "Attack_user" đồng thời tạo một kho lưu trữ có tên "repo" và đổi tên tên người dùng "Attack_user" thành "victim_user"
notion image
Bước cuối cùng được thực hiện bằng cách sử dụng yêu cầu API để tạo kho lưu trữ và chặn yêu cầu được đổi tên đối với việc thay đổi tên người dùng. Sự phát triển này diễn ra gần chín tháng sau khi GitHub vá một lỗ hổng vượt qua tương tự có thể mở ra cơ hội cho các cuộc tấn công rejacking .
Việc phát hiện ra lỗ hổng mới này trong hoạt động tạo kho lưu trữ và đổi tên tên người dùng của GitHub cho thấy những rủi ro dai dẳng liên quan đến cơ chế ‘bỏ qua không gian tên kho lưu trữ phổ biến’.
Báo cáo của Checkmarx
Nguồn 🔗 TheHackerNews

4. Ransomware đánh cắp tài khoản thông qua lừa đảo Microsoft Teams

Microsoft cho biết một access broker làm việc với các nhóm ransomware gần đây đã chuyển sang các cuộc tấn công lừa đảo của Microsoft Teams để xâm phạm mạng công ty.
Nhóm đe dọa có động cơ tài chính đằng sau chiến dịch này được theo dõi là Storm-0324, một tác nhân độc hại được biết là đã triển khai phần mềm ransomware Sage và GandCrab trong quá khứ.
Storm-0324 cũng đã cung cấp cho băng đảng tội phạm mạng khét tiếng FIN7 quyền truy cập vào mạng công ty sau khi xâm phạm chúng bằng JSSLoader, Gozi và Nymaim.
FIN7 (còn gọi là Sangria Tempest và ELBRUS) được nhìn thấy đang triển khai phần mềm ransomware Clop trên mạng của nạn nhân. Trước đây, nó cũng được  liên kết  với ransomware Maze và REvil trước các hoạt động ransomware-as-a-service (Raas) BlackMatter và DarkSide hiện không còn tồn tại.
Microsoft cho biết: “Vào tháng 7 năm 2023, Storm-0324 bắt đầu sử dụng mồi nhử lừa đảo được gửi qua Teams với các liên kết độc hại dẫn đến tệp độc hại được lưu trữ trên SharePoint”.
“Đối với hoạt động này, Storm-0324 rất có thể dựa vào một công cụ có sẵn công khai có tên TeamsPhisher.”
Công cụ nguồn mở này cho phép kẻ tấn công bỏ qua các hạn chế đối với các tệp đến từ đối tượng thuê bên ngoài và gửi tệp đính kèm lừa đảo tới người dùng Teams.
Nó thực hiện điều này bằng cách khai thác một vấn đề bảo mật trong Microsoft Teams được các nhà nghiên cứu bảo mật Jumpsec phát hiện mà Microsoft đã từ chối giải quyết vào tháng 7 sau khi nói rằng lỗ hổng này "không đáp ứng được yêu cầu để khắc phục ngay lập tức".
Tuy nhiên, vấn đề này  cũng bị APT29 , bộ phận hack của Russian Foreign Intelligence Service (SVR) của Nga khai thác, trong các cuộc tấn công chống lại hàng chục tổ chức, bao gồm cả các cơ quan chính phủ trên toàn thế giới.
Mặc dù Microsoft không cung cấp thông tin chi tiết về mục tiêu cuối cùng của các cuộc tấn công của Storm-0324 lần này, nhưng các cuộc tấn công của APT29 nhằm đánh cắp thông tin xác thực của mục tiêu sau khi lừa họ phê duyệt lời nhắc xác thực đa yếu tố (MFA).
Tin nhắn lừa đảo của Nhóm APT29 (Microsoft)
Tin nhắn lừa đảo của Nhóm APT29 (Microsoft)
Công ty cho biết họ đang nỗ lực ngăn chặn các cuộc tấn công này và bảo vệ khách hàng của Teams.
Microsoft cho biết : “Microsoft rất coi trọng các chiến dịch lừa đảo này và đã đưa ra một số cải tiến để bảo vệ tốt hơn trước những mối đe dọa này”  .
Theo Redmond, những kẻ đe dọa sử dụng các chiến thuật lừa đảo Teams này hiện được công nhận là người dùng "EXTERNAL" khi quyền truy cập bên ngoài được bật trong cài đặt của tổ chức.
"Chúng tôi cũng đã triển khai các cải tiến cho trải nghiệm Accept/Block trong các cuộc trò chuyện trực tiếp trong Teams, để nhấn mạnh tính bên ngoài của người dùng và địa chỉ email của họ để người dùng Teams có thể thận trọng hơn bằng cách không tương tác với những người gửi không xác định hoặc độc hại" Microsoft cho biết.
"Chúng tôi đã triển khai các hạn chế mới đối với việc tạo miền trong đối tượng thuê và cải thiện thông báo cho quản trị viên của đối tượng thuê khi miền mới được tạo trong đối tượng thuê của họ."
Sau khi phát hiện các cuộc tấn công lừa đảo Teams của Storm-0324, Microsoft đã đình chỉ tất cả người thuê và tài khoản mà họ sử dụng trong chiến dịch.
Nguồn 🔗 BleepingComputer

5. Malware ‘MetaStealer’ nhắm mục tiêu vào hệ thống macOS dựa trên Intel

Một phần mềm độc hại đánh cắp thông tin mới có tên 'MetaStealer' đã xuất hiện, đánh cắp nhiều loại thông tin nhạy cảm từ các máy tính macOS chạy Intel.
MetaStealer là một phần mềm độc hại dựa trên Go có khả năng trốn tránh công nghệ chống virus tích hợp XProtect của Apple, nhắm mục tiêu vào người dùng doanh nghiệp.
SentinelOne  báo cáo  rằng họ đã theo dõi phần mềm độc hại trong vài tháng qua và nhận thấy sự tham gia bất thường của kỹ thuật xã hội trong quá trình phân phối của nó.
Mặc dù phần mềm độc hại này có một số điểm tương đồng với  Atomic Stealer , một phần mềm đánh cắp thông tin nhắm mục tiêu khác trên macOS dựa trên Go, nhưng sự trùng lặp mã bị hạn chế và phương thức phân phối cũng khác nhau.
Vì vậy, SentinelOne kết luận rằng MetaStealer là một hoạt động riêng biệt.
Xuất hiện trên hệ thống macOS
SentinelOne đã tìm thấy một mẫu phần mềm độc hại trên VirusTotal kèm theo nhận xét cho biết tác nhân đe dọa MetaStealer đang liên hệ với các doanh nghiệp và mạo danh khách hàng của công ty để phân phối phần mềm độc hại.
Kẻ đe dọa đóng giả là khách hàng thiết kế đã gửi cho nạn nhân một tệp zip được bảo vệ bằng mật khẩu có chứa tệp DMG VirusTotal.
Mở hình ảnh vào máy tính để xem nội dung. Nó chứa một ứng dụng được ngụy trang dưới dạng PDF.
Kèm theo các email lừa đảo là các tệp disk image mà khi được gắn vào hệ thống tệp sẽ chứa các tệp thực thi có tên lừa đảo xuất hiện dưới dạng tệp PDF để lừa nạn nhân mở chúng.
Tệp disk image (SentinelOne)
Tệp disk image (SentinelOne)
SentinelOne đã quan sát thấy DMG được đặt tên theo phần mềm hoặc công việc của ứng dụng khách Adobe, bao gồm:
  • Advertising terms of reference (MacOS presentation).dmg
  • CONCEPT A3 full menu with dishes and translations to English.dmg
  • AnimatedPoster.dmg
  • Brief_Presentation-Task_Overview-(SOW)-PlayersClub.dmg
  • AdobeOfficialBriefDescription.dmg
  • Adobe Photoshop 2023 (with AI) installer.dmg
Các gói ứng dụng của phần mềm độc hại chứa các thành phần cơ bản, cụ thể là tệp Info.plist, thư mục Resources có hình ảnh biểu tượng và thư mục macOS chứa tệp thực thi Mach-O độc hại.
Không có mẫu nào được SentinelOne kiểm tra đã được ký, mặc dù một số phiên bản có ID nhà phát triển Apple.
Nội dung gói (SentinelOne)
Nội dung gói (SentinelOne)
Khả năng của MetaStealer
MetaStealer cố gắng đánh cắp thông tin được lưu trữ trên các hệ thống bị xâm nhập, bao gồm mật khẩu, tệp và dữ liệu ứng dụng, sau đó cố gắng lọc chúng qua TCP qua cổng 3000.
Cụ thể, các chức năng của phần mềm độc hại cho phép lọc keychain và trích xuất mật khẩu đã lưu, đánh cắp tệp từ hệ thống và nhắm mục tiêu vào các dịch vụ Telegram và Meta (Facebook).
Nhắm mục tiêu các dịch vụ keychain, Telegram và Meta (SentinelOne)
Nhắm mục tiêu các dịch vụ keychain, Telegram và Meta (SentinelOne)
Keychain là hệ thống quản lý mật khẩu cấp hệ thống dành cho macOS, quản lý thông tin xác thực cho trang web, ứng dụng, mạng WiFi, chứng chỉ, khóa mã hóa, thông tin thẻ tín dụng và thậm chí cả ghi chú riêng tư.
Do đó, việc lọc nội dung keychain là một tính năng mạnh mẽ có thể cung cấp cho kẻ tấn công quyền truy cập vào dữ liệu nhạy cảm.
Trong phiên bản hiện tại, MetaStealer chỉ chạy trên kiến trúc Intel x86_64, có nghĩa là nó không thể xâm phạm các hệ thống macOS chạy trên bộ xử lý Apple Silicon (M1, M2) trừ khi nạn nhân sử dụng Rosetta để chạy phần mềm độc hại.
Điều này làm giảm thiểu mối đe dọa và hạn chế số lượng nạn nhân tiềm năng ngày càng giảm khi các máy tính Apple dựa trên Intel đang dần bị loại bỏ.
Tuy nhiên, MetaStealer có thể phát hành một phiên bản mới bổ sung hỗ trợ riêng cho Apple Silicon, vì vậy đây là một mối đe dọa cần đề phòng.
Nguồn 🔗 BleepingComputer

6. Microsoft phát hiện lỗ hổng trong thư viện ncurses ảnh hưởng đến hệ thống Linux và macOS

notion image
Một tập hợp các lỗi hỏng bộ nhớ đã được phát hiện trong thư viện lập trình ncurses (viết tắt của newcurs ) có thể bị các tác nhân đe dọa khai thác để chạy mã độc trên các hệ thống Linux và macOS dễ bị tấn công.
Các nhà nghiên cứu về mối đe dọa của Microsoft cho biết trong một báo cáo kỹ thuật được công bố: “Sử dụng việc đầu độc biến môi trường, kẻ tấn công có thể xâu chuỗi các lỗ hổng này để nâng cao đặc quyền và chạy mã trong bối cảnh của chương trình mục tiêu hoặc thực hiện các hành động độc hại khác”.
Các lỗ hổng, được gọi chung là CVE-2023-29491 (điểm CVSS là 7,8), đã được xử lý kể từ tháng 4 năm 2023. Microsoft cho biết họ cũng đã làm việc với Apple để giải quyết các vấn đề cụ thể của macOS liên quan đến những sai sót này.
Biến môi trường là các giá trị do người dùng xác định, có thể được nhiều chương trình trên hệ thống sử dụng và có thể ảnh hưởng đến cách chúng hoạt động trên hệ thống. Thao tác với các biến có thể khiến ứng dụng thực hiện các hoạt động trái phép.
Quá trình kiểm tra và làm mờ mã của Microsoft phát hiện ra rằng thư viện ncurses tìm kiếm một số biến môi trường, bao gồm TERMINFO, có thể bị nhiễm độc và kết hợp với các lỗ hổng đã xác định để đạt được sự leo thang đặc quyền. Terminfo là cơ sở dữ liệu cho phép các chương trình sử dụng thiết bị đầu cuối hiển thị theo cách độc lập với thiết bị.
Các lỗ hổng bao gồm rò rỉ thông tin ngăn xếp, nhầm lẫn loại chuỗi tham số, lỗi từng cái một, vượt quá giới hạn trong quá trình phân tích cú pháp tệp cơ sở dữ liệu terminfo và từ chối dịch vụ với các chuỗi bị hủy.
Các nhà nghiên cứu cho biết: “Các lỗ hổng được phát hiện có thể đã bị kẻ tấn công khai thác để nâng cao đặc quyền và chạy mã trong bối cảnh của chương trình mục tiêu”. “Tuy nhiên, việc giành quyền kiểm soát một chương trình thông qua việc khai thác các lỗ hổng hỏng bộ nhớ đòi hỏi một cuộc tấn công nhiều giai đoạn.”
“Các lỗ hổng có thể cần phải được xâu chuỗi lại với nhau để kẻ tấn công nâng cao các đặc quyền, chẳng hạn như khai thác rò rỉ thông tin ngăn xếp để có được các nguyên gốc đọc tùy ý cùng với việc khai thác lỗi tràn heap để có được nguyên gốc ghi.”
Nguồn 🔗 TheHackerNews

7. Chiến dịch lừa đảo tinh vi được triển khai trên Agent Tesla, OriginBotnet và RedLine Clipper

Một chiến dịch lừa đảo tinh vi đang sử dụng công cụ tài liệu Microsoft Word để phát tán ba mối đe dọa, cụ thể là Agent Tesla, OriginBotnet và RedLine Clipper, nhằm thu thập nhiều loại thông tin từ các máy Windows bị xâm nhập.
Fortinet FortiGuard Labs cho biết: “Một email lừa đảo gửi tài liệu Word dưới dạng tệp đính kèm, hiển thị hình ảnh bị làm mờ có chủ ý và reCAPTCHA giả mạo để dụ người nhận nhấp vào nó”.
Nhấp vào hình ảnh sẽ dẫn đến việc phân phối một trình tải từ một máy chủ từ xa, được thiết kế để phân phối OriginBotnet để ghi lại thao tác bàn phím và khôi phục mật khẩu, RedLine Clipper để đánh cắp tiền điện tử và Agent Tesla để thu thập thông tin nhạy cảm.
Trình tải, được viết bằng .NET, sử dụng một kỹ thuật gọi là đệm nhị phân bằng cách thêm byte rỗng để tăng kích thước tệp lên 400 MB nhằm tránh bị phần mềm bảo mật phát hiện.
Việc kích hoạt trình tải sẽ kích hoạt một quy trình nhiều giai đoạn để thiết lập tính bền vững trên máy chủ và trích xuất thư viện liên kết động (DLL) chịu trách nhiệm giải phóng tải trọng cuối cùng.
Một trong số đó là RedLine Clipper, một tệp thực thi .NET để đánh cắp tiền điện tử bằng cách giả mạo bảng tạm hệ thống của người dùng để thay thế địa chỉ ví đích bằng địa chỉ do kẻ tấn công kiểm soát.
RedLine Clipper sử dụng ' OnClipboardChangeEventHandler ' để thường xuyên theo dõi các thay đổi của bảng tạm và xác minh xem chuỗi được sao chép có phù hợp với biểu thức chính quy hay không.
notion image
Mặt khác, Agent Tesla là một trojan truy cập từ xa ( RAT ) và đánh cắp dữ liệu dựa trên .NET để giành quyền truy cập ban đầu và lọc thông tin nhạy cảm như tổ hợp phím và thông tin đăng nhập được sử dụng trong trình duyệt web sang lệnh và kiểm soát (C2 ) máy chủ qua giao thức SMTP.
Ngoài ra còn có một phần mềm độc hại mới có tên OriginBotnet, tích hợp nhiều tính năng để thu thập dữ liệu, thiết lập liên lạc với máy chủ C2 và tải xuống các plugin bổ sung từ máy chủ để thực thi chức năng ghi nhật ký bàn phím hoặc khôi phục mật khẩu trên các điểm cuối bị xâm nhập.
PluginPasswordRecovery truy xuất và sắp xếp thông tin xác thực của nhiều tài khoản phần mềm và trình duyệt khác nhau. "Nó ghi lại những kết quả này và báo cáo chúng thông qua các yêu cầu HTTP POST.
Unit42 của Palo Alto Networks, vào tháng 9 năm 2022, đã trình bày chi tiết về một phần mềm sau Agent Tesla có tên là OriginLogger , có các tính năng tương tự như của OriginBotnet, cho thấy rằng cả hai đều có thể là tác phẩm của cùng một tác nhân đe dọa.
Fortinet cho biết: “Chiến dịch tấn công mạng này liên quan đến một chuỗi sự kiện phức tạp”. “Nó bắt đầu bằng một tài liệu Word độc hại được phát tán qua email lừa đảo, khiến nạn nhân tải xuống một trình tải thực thi một loạt tải trọng phần mềm độc hại. Cuộc tấn công đã thể hiện các kỹ thuật tinh vi để tránh bị phát hiện và duy trì sự tồn tại lâu dài trên các hệ thống bị xâm nhập.”
Nguồn 🔗 TheHackerNews