Các ứng dụng nhắn tin ngày nay đã trở nên rất phổ biến, với nhiều tính năng nổi bật và không chỉ dừng lại ở việc gửi tin nhắn và còn nhiều tích hợp tiện ích khác. Điển hình như ứng dụng Discord và Telegram cung cấp các chức năng cho phép người dùng tạo và chia sẻ các chương trình hoặc các loại nội dung khác được sử dụng bên trong nền tảng. Các chương trình này thường được gọi là bot, cho phép người dùng chia sẻ tệp, chơi trò chơi, nhận tin tức, thông báo hoặc bất kỳ tác vụ tự động nào khác mà nhà phát triển có thể đặt ra. Tuy nhiên, đây lại là chương trình mà tin tặc đang tìm cách khai thác trong các cuộc tấn công.
Các nhà nghiên cứu của Intel 471 chia sẻ rằng các nhóm tin tặc đã sử dụng nền tảng Telegram và Discord để lưu trữ, phân phối và thực thi các chức năng khác nhau có thể cho phép chúng đánh cắp thông tin xác thực, hoặc một số thông tin khác từ các nạn nhân.
Các nhà nghiên cứu của Intel 471 đã phát hiện ra một số trình đánh cắp thông tin có sẵn miễn phí được xây dựng tùy chỉnh để hoạt động trên Discord hoặc Telegram. Một trong số này có tên gọi là Blitzed Grabber, sử dụng tính năng webhooks của Discord để lưu trữ dữ liệu bị đánh cắp. Tương tự như API, webhooks cung cấp một cách dễ dàng để gửi các tin nhắn tự động và cập nhật dữ liệu từ máy của nạn nhân vào một kênh nhắn tin cụ thể. Tin tặc sau đó có thể sử dụng các thông tin đã thu thập được để tiếp tục các mục đích của riêng mình, hoặc bán những thông tin này trên các diễn đàn dark web.
Các tin tặc có thể đánh cắp tất cả các loại thông tin, bao gồm dữ liệu được tự động điền, thanh dấu trang, cookie trình duyệt, thông tin đăng nhập mạng riêng ảo (VPN), thông tin thẻ thanh toán, ví tiền điện tử, thông tin hệ điều hành, mật khẩu hay thậm chí cả Product Key của Windows. Một số trình đánh cắp thông tin khác, cụ thể là Mercurial Grabber và 44Caliber cũng nhắm mục tiêu thông tin đăng nhập cho các nền tảng trò chơi phổ biến như Minecraft và Roblox.
Ngoài ra, Intel 471 cho biết họ cũng phát hiện ra một bot Telegram độc hại, được gọi là X-Files. Khi mã độc đã được tải vào hệ thống của nạn nhân, tin tặc có thể dò quét thông tin mật khẩu, phiên cookie, thông tin đăng nhập và chi tiết thẻ tín dụng rồi gửi những thông tin này đến kênh Telegram mà chúng thiết lập. X-Files có thể thu thập thông tin từ một loạt các trình duyệt, bao gồm Google Chrome, Chromium, Opera, Slimjet và Vivaldi.
Bên cạnh đó, các nhà nghiên cứu đã phát hiện ra một trình đánh cắp thông tin Telegram khác, được gọi là Prynt Stealer hoạt động theo cách tương tự như X-Files nhưng không hoạt động với các lệnh bot.
Intel 471 đã quan sát thấy các tin tặc lạm dụng cơ sở hạ tầng đám mây được các ứng dụng nhắn tin sử dụng để hỗ trợ các chiến dịch phát tán mã độc. Nhiều nhóm tin tặc hiện đang sử dụng mạng phân phối nội dung (CDN) của Discord để lưu trữ các mã độc. Hệ thống thu thập Malware Intelligence của Intel 471 quan sát và nhận thấy kỹ thuật này lần đầu tiên vào năm 2019, nhưng hiện nay nhiều tin tặc vẫn sử dụng.
Theo đánh giá của công ty an ninh mạng này, có vẻ như các tin tặc không phải đối mặt với bất kỳ hạn chế nào khi tải các payload độc hại lên Discord CDN để lưu trữ tệp. “Các liên kết được mở cho bất kỳ người dùng nào mà không cần xác thực, cung cấp cho các tin tặc một tên miền web có uy tín cao để lưu trữ mã độc”, các nhà nghiên cứu Intel 471 chia sẻ.
Các kiểu mã độc sử dụng Discord CDN để lưu trữ các payload độc hại này bao gồm: PrivateLoader, Discoloader, Colibri, Warzone RAT, Modi loader, Raccoon stealer, Smokeloader, Amadey, Agent Tesla stealer, GuLoader, Autohotkey, njRAT.
Trước đây, Intel 471 cho biết đã có sự gia tăng trong các dịch vụ của tin tặc cho phép chúng sử dụng chương trình Telegram trong nỗ lực chặn mã thông báo mật khẩu một lần (OTP). Các tin tặc đã tiếp tục triển khai các dịch vụ này, bán quyền truy cập vào website của chúng trên các diễn đàn dark web.
Các nhà nghiên cứu Intel 471 đã quan sát thấy một bot vào tháng 4/2022, được gọi là Astro OTP có thể chặn mã thông báo OTP và mã xác minh dịch vụ tin nhắn (SMS). Các tin tặc có thể điều khiển bot này thông qua giao diện Telegram bằng các lệnh cơ bản.
Một công cụ khởi đầu cho các cuộc tấn công
Mặc dù các trình đánh cắp thông tin không gây ra thiệt hại lớn so với một số mã độc khác như phần mềm xóa dữ liệu hoặc mã độc tống tiền, nhưng chúng có thể là bước đầu tiên để phát động một cuộc tấn công có chủ đích. Các ứng dụng nhắn tin như Discord và Telegram chủ yếu được sử dụng cho các hoạt động kinh doanh, nhưng sự phổ biến của các nền tảng này cùng với sự gia tăng các công việc từ xa tạo ra một bề mặt tấn công lớn hơn cho các tin tặc khai thác.
Việc các trình đánh cắp thông tin này có thể xoay chuyển các tính năng của ứng dụng nhắn tin một cách dễ dàng và sự gia tăng của công việc từ xa kết hợp với nhau, sẽ tạo cơ hội cho các tin tặc phát triển những kỹ năng cần thiết và có thể xoay trục sang các tin tặc khác trong tương lai.
Quốc Trung
(theo Intel 471)
14:00 | 19/07/2022
13:00 | 02/08/2022
11:00 | 31/03/2023
08:00 | 23/06/2022
08:00 | 04/05/2024
Mới đây, Cisco cảnh báo rằng một nhóm tin tặc được nhà nước bảo trợ đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 để cài đặt phần mềm độc hại trên các hệ thống mạng viễn thông và năng lượng bị ảnh hưởng tại nhiều quốc gia.
10:00 | 22/04/2024
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
11:00 | 29/02/2024
Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.
16:00 | 01/12/2023
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Check Point cho biết đã phát một số biến thể mới của phần mềm độc hại SysJoker, trong đó bao gồm một biến thể được mã hóa bằng Rust, được các tin tặc ủng hộ Hamas sử dụng trong các cuộc tấn công mạng nhắm đến Israel, trong bối cảnh leo thang cuộc xung đột vũ trang giữa Israel và Hamas đang diễn ra. Trong bài viết này sẽ tập trung phân tích phiên bản Rust của SysJoker dựa trên báo cáo nghiên cứu mới đây của Check Point.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024
