Sự gia tăng các phần mềm độc hại đánh cắp thông tin ngày càng trở nên phổ biến với các quy mô tấn công khác nhau trong những tháng gần đây. Hai phần mềm độc hại đánh cắp thông tin mới có tên FFDroider và Lightning Stealer có khả năng đánh cắp dữ liệu và khởi động các cuộc tấn công tiếp theo đang trở thành những mối đe dọa hết sức nghiêm trọng.
Bằng cách đánh cắp thông tin đăng nhập và cookie được lưu trữ trong trình duyệt, FFDroider và Lightning Stealer có thể chiếm quyền kiểm soát các tài khoản mạng xã hội của nạn nhân. Những tài khoản mạng xã hội này thậm chí còn thu hút tin tặc hơn nữa nếu như chúng có quyền truy cập vào các nền tảng quảng cáo của các mạng xã hội. Từ đó, tin tặc có thể sử dụng tài khoản của nạn nhân để chạy các quảng cáo độc hại, tạo ra sự lây nhiễm với quy mô lớn. Không giống như những mã độc đánh cắp thông tin khác, Lightning Stealer và FFDroider lưu trữ tất cả dữ liệu bị đánh cắp ở định dạng file JSON. Theo các nhà nghiên cứu của Trung tâm Giám sát an toàn không gian mạng quốc gia (có trụ sở tại Mỹ, Úc, Singapore và Ấn Độ) cho biết: “Những phần mềm đánh cắp thông tin đang sử dụng các kỹ thuật mới để trở nên khó phát hiện hơn”.
Hình 1. Lightning Stealer và FFDroider lưu trữ dữ liệu đánh cắp dưới dạng chuỗi JSON sử dụng phương thức JsonSerializer.Serialize()
Đối với phần mềm Lightning Stealer, các phương thức trong hàm Main() của nó chịu trách nhiệm thực thi nhiệm vụ đánh cắp dữ liệu. Lightning Stealer thực hiện gọi phương thức Input.GetLogGecko(). Phương thức này sẽ trả về mật khẩu, cookie và lịch sử bị đánh cắp từ trình duyệt sau khi được thực thi.
Hình 2. Cấu trúc hàm Main() của Lightning Stealer
Các trình duyệt lưu trữ dữ liệu người dùng trong thư mục “AppData\Browser_name”. Lightning Stealer sẽ kiểm tra thư mục này cùng với các tệp dưới đây:
Trước tiên, Lightning Stealer thực hiện đánh cắp dữ liệu từ tệp “login.json” và tìm kiếm các thư viện liên kết động là mozglue.dll, nss3.dll, được sử dụng để giải mã tệp “login.json” và key4.db.
Hình 3. Lightning Stealer đánh cắp thông tin đăng nhập trên trình duyệt
Tương tự, phần mềm độc hại Lightning Stealer thực hiện đánh cắp lịch sử của trình duyệt trong các tệp “place.sqlite”.
Hình 4. Lightning Stealer đánh cắp lịch sử của trình duyệt
Đối với FFDroider, theo tổ chức bảo mật Zscaler của Anh, FFDroider lây nhiễm qua các phần mềm crack, giả mạo phần mềm miễn phí, game crack và các tệp khác được tải xuống từ các trang torrent. Các trang mạng xã hội được FFDroider nhắm tới bao gồm Facebook, Instagram, Twitter, Amazon, eBay.
Hình 5. Quy trình tấn công của mã độc FFDroider
Các nhà nghiên cứu cũng cho biết thêm: sau khi đánh cắp thông tin và gửi về máy chủ ra lệnh và kiểm soát C2 (Command and Control), các phần mềm độc hại đánh cắp dữ liệu như Lightning Stealer và FFDroider sẽ tải về các mô-đun mới, cho phép mở rộng các tính năng theo thời gian. Hiện vẫn chưa biết các mô-đun mới sẽ có nhiệm vụ gì nhưng theo dự đoán chúng sẽ tạo ra những mối đe dọa lớn hơn.
Trương Đình Dũng
(tổng hợp)
12:00 | 18/05/2022
14:00 | 19/07/2022
10:00 | 08/04/2022
10:00 | 27/05/2022
10:00 | 08/04/2022
10:00 | 03/03/2023
09:00 | 17/03/2022
09:00 | 02/04/2024
Một chiến dịch phần mềm độc hại trên quy mô lớn có tên Sign1 đã xâm phạm hơn 39.000 trang web WordPress trong 6 tháng qua, sử dụng cách thức chèn mã JavaScript độc hại để chuyển hướng người dùng đến các trang web lừa đảo.
10:00 | 31/01/2024
Các nhà nghiên cứu tại công ty an ninh mạng CloudSEK (Ấn Độ) cho biết: tin tặc đang phân phối phần mềm đánh cắp thông tin bằng cách lợi dụng điểm cuối Google OAuth có tên MultiLogin để chiếm quyền điều khiển phiên của người dùng và cho phép truy cập liên tục vào các dịch vụ của Google ngay cả sau khi đặt lại mật khẩu.
09:00 | 29/01/2024
Các nhà nghiên cứu đến từ hãng bảo mật Fortinet (Mỹ) phát hiện một biến thể mới của Trojan truy cập từ xa có tên Bandook đang được phân phối thông qua các cuộc tấn công lừa đảo nhằm mục đích xâm nhập vào các máy tính Windows. Bài viết sẽ phân tích hành vi của Bandook, cung cấp thông tin chi tiết về các thành phần được sửa đổi trong biến thể mới và giải mã một số ví dụ về cơ chế giao tiếp máy chủ ra lệnh và điều khiển (C2) của phần mềm độc hại này.
08:00 | 11/01/2024
Các nhà nghiên cứu bảo mật từ Đại học Ruhr Bochum (Đức) phát hiện ra một lỗ hổng trong giao thức mạng mật mã Secure Shell (SSH) có thể cho phép kẻ tấn công hạ cấp bảo mật của kết nối bằng cách phá vỡ tính toàn vẹn của kênh an toàn.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024