Tổng quan
Nhà nghiên cứu Jérôme Segura của Malwarebytes cho biết, có vẻ như Atomic Stealer đã được cập nhật vào khoảng giữa đến cuối tháng 12/2023, khi các nhà phát triển của phần mềm độc hại này giới thiệu khả năng mã hóa payload nhằm nỗ lực vượt qua các tập luật của các giải pháp bảo mật. Một số mẫu từ các trang web bẻ khóa đã được gửi đến VirusTotal trong khoảng thời gian này, sau đó là một chiến dịch quảng cáo độc hại mà Malwarebytes quan sát được vào tháng 01/2024.
Atomic Stealer xuất hiện lần đầu tiên vào tháng 4/2023 với mức phí đăng ký hàng tháng là 1.000 USD. Phần mềm độc hại này có khả năng thu thập thông tin nhạy cảm từ máy chủ bị xâm nhập, bao gồm mật khẩu Keychain, phiên cookie, tệp, ví tiền điện tử, siêu dữ liệu hệ thống và mật khẩu trên máy tính thông qua lời nhắc giả mạo.
Trong nhiều tháng qua, các nhà nghiên cứu cho biết Atomic Stealer đã được phân phối thông qua các trang web quảng cáo độc hại, đồng thời xâm nhập dưới vỏ bọc là các bản cập nhật trình duyệt web và phần mềm hợp pháp. Phân tích mới nhất của Malwarebytes cho thấy Atomic Stealer hiện đang được bán với giá thuê khổng lồ 3.000 USD/tháng, trong đó các tin tặc thực hiện chương trình khuyến mãi trùng với dịp Giáng sinh, cung cấp phần mềm độc hại với mức giá chiết khấu là 2.000 USD.
Phiên bản cập nhật tháng 12/2023
Vào tháng 12/2023, Atomic Stealer đã thực hiện chương trình giảm giá đăng ký mua phần mềm độc hại thông qua một bài đăng trên kênh Telegram để đưa ra mức giá đặc biệt trong lễ Giáng sinh đối với các khách hàng (Hình 1).
Hình 1. Thông báo trên Telegram về chương trình khuyến mãi với giá đăng ký sử dụng Atomic Stealer là 2.000 USD
Mặc dù, các nhà phát triển không quảng cáo các cụ thể tính năng cập nhật, nhưng có vẻ như vào khoảng ngày 17/12/2023, Atomic Stealer đã thay đổi một số mã của nó để ẩn một số chuỗi nhất định trước đây được sử dụng để phát hiện và xác định máy chủ điều khiểm và ra lệnh (C2) của phần mềm độc hại này.
Hình 2. Mẫu có các chuỗi ở dạng văn bản rõ hiển thị địa chỉ IP cho máy chủ C2 của phần mềm độc hại (ngày 12/12/2023).
Hình 3. Mẫu bị xáo trộn sử dụng quy trình mã hóa mới để ẩn một số chuỗi (ngày 17/12/2023).
Hai mẫu trên (Hình 2 và Hình 3) cũng đại diện cho các kênh phân phối khác nhau mà khách hàng của Atomic Stealer đang sử dụng để phát tán phần mềm độc hại. Có thể khách hàng sử dụng phần mềm bẻ khóa đã có quyền truy cập vào bản cập nhật Atomic Stealer trước những khách hàng sử dụng quảng cáo độc hại.
Trên thực tế, trong kỳ nghỉ lễ Giáng sinh, các nhà nghiên cứu nhận thấy hoạt động quảng cáo độc hại đã giảm, đặc biệt đối với các chiến dịch chạy qua quảng cáo tìm kiếm của Google. Điều này phần nào được mong đợi và thường kéo dài đến đầu tháng Giêng. Bên cạnh việc kết hợp mã hóa để ngăn chặn sự phát hiện của phần mềm bảo mật, các chiến dịch phân phối Atomic Stealer đã trải qua một sự thay đổi nhỏ, trong đó quảng cáo tìm kiếm của Google mạo danh Slack được sử dụng làm đường dẫn để triển khai Atomic Stealer hoặc trình tải phần mềm độc hại có tên EugenLoader (còn gọi là FakeBat) tùy thuộc vào hệ điều hành.
Cụ thể, vào ngày 08/01/2023, các nhà nghiên cứu đã xác định được một chiến dịch quảng cáo độc hại sử dụng các chiến thuật tương tự mà các tác nhân đe dọa phân phối FakeBat đã biết trước đây. Trong trường hợp này, cũng có một payload dành cho người dùng Mac và Atomic Stealer trong phiên bản cập nhật của nó.
Quảng cáo độc hại với FakeBat
Các tác nhân đe dọa đánh lừa nạn nhân tiềm năng thông qua quảng cáo tìm kiếm của Google mạo danh Slack (Hình 4), công cụ giao tiếp phổ biến và chuyển hướng họ đến một trang web giả mạo để có thể tải xuống ứng dụng cho cả Windows và Mac.
Hình 4. Trang web giả mạo Slack
Những kẻ tấn công tận dụng các mẫu theo dõi để lọc lưu lượng truy cập và định tuyến nó qua một số chuyển hướng trước khi tải trang đích (Hình 5).
Hình 5. Các đường dẫn độc hại
Trên một trong các tên miền đích độc hại, có một thư mục mở hiển thị vị trí của payload Windows là trình cài đặt MSI (FakeBat) và máy Mac (Hình 6).
Hình 6. Thư mục tải payload độc hại
Trình đánh cắp bị xáo trộn
Như trong Hình 6, một tệp DMG giả mạo sẽ chứa hướng dẫn người dùng mở tệp cũng như cửa sổ hộp thoại yêu cầu họ nhập mật khẩu hệ thống. Điều này sẽ cho phép Atomic Stealer thu thập mật khẩu và các tệp nhạy cảm khác thường bị hạn chế truy cập (Hình 7).
Hình 7. Hộp thoại yêu cầu người dùng nhập mật khẩu hệ thống
Khi so sánh các mẫu Atomic Stealer trước đây, các nhà nghiên cứu cho biết mã ứng dụng đã thay đổi. Trước đây, một số chuỗi nhất định thể hiện các thành phần của payload như trình duyệt, ví tiền điện tử,… và quan trọng hơn là máy chủ C2 nhận dữ liệu người dùng bị đánh cắp. Bây giờ, những chuỗi này không còn hiển thị nữa vì mã đã bị xáo trộn khá kỹ (Hình 8).
Hình 8. Mã bị xóa trộn
Khi phân tích mẫu này trong sandbox, các nhà nghiên cứu phát hiện quá trình lọc dữ liệu đang diễn ra với máy chủ C2 tương ứng (Hình 9).
Hình 9. Quá trình lọc dữ liệu với máy chủ C2
Kết luận
Vì trình đánh cắp thông tin tiếp tục là mối đe dọa hàng đầu đối với người dùng Mac nên điều quan trọng là phải tải xuống phần mềm từ các nguồn đáng tin cậy. Tuy nhiên, các quảng cáo độc hại và trang web mồi nhử có thể rất dễ gây hiểu lầm và chỉ cần một thao tác duy nhất (nhập mật khẩu) là phần mềm độc hại có thể thu thập và đánh cắp dữ liệu của người dùng. Để giữ bảo vệ an toàn trước Atomic Stealer và các mối đe dọa tương tự khác, sự kết hợp giữa bảo vệ web và các phần mềm chống virus là phù hợp nhất. Do đó, người dùng nên chủ động cập nhật thường xuyên các phiên bản mới nhất của phần mềm chống vi-rút hiện có.
Hương Giang
(Tổng hợp)
09:00 | 10/01/2024
17:00 | 22/12/2023
10:00 | 22/09/2023
13:00 | 05/04/2024
08:00 | 12/03/2024
09:00 | 19/04/2024
Theo nhận định của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), trong thời gian gần đây các chiêu trò lừa đảo trực tuyến ngày càng gia tăng với các hình thức tinh vi hơn. Điều này khiến cho nhiều người dân khó nhận biết để phòng tránh nguy cơ mất an toàn thông tin.
09:00 | 02/04/2024
Một chiến dịch phần mềm độc hại trên quy mô lớn có tên Sign1 đã xâm phạm hơn 39.000 trang web WordPress trong 6 tháng qua, sử dụng cách thức chèn mã JavaScript độc hại để chuyển hướng người dùng đến các trang web lừa đảo.
08:00 | 12/01/2024
Trung tuần tháng 12, các nhà nghiên cứu của hãng bảo mật Kaspersky phát hiện một mối đe dọa đa nền tảng mới có tên là NKAbuse. Phần mềm độc hại này được viết bằng ngôn ngữ Golang, sử dụng công nghệ NKN (New Kind of Network) để trao đổi dữ liệu giữa các thiết bị mạng ngang hàng, được trang bị khả năng tạo backdoor và phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS), bên cạnh đó NKAbuse cũng có đủ sự linh hoạt để tạo các tệp nhị phân tương thích với nhiều kiến trúc khác nhau.
09:00 | 10/01/2024
Song song với mức độ phổ biến toàn cầu của tiền điện tử và có nhiều cách thức lưu trữ mới thì các kho công cụ tấn công được sử dụng bởi những tác nhân đe dọa tiền kỹ thuật số cũng ngày càng được mở rộng. Bài viết này dựa trên báo cáo của Kaspersky đề cập đến các phương pháp tấn công email khác nhau được tội phạm mạng sử dụng trong các chiến dịch lừa đảo nhắm vào hai cách lưu trữ tiền điện tử phổ biến nhất: ví nóng và ví lạnh.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024