Mối đe dọa từ sự gia tăng các phần mềm đánh cắp thông tin

15:00 | 26/04/2022 | HACKER / MALWARE

Vào tháng 02/2022, phần mềm độc hại đánh cắp thông tin có tên là Jester Stealer được phát hiện với khả năng đánh cắp và truyền thông tin đăng nhập, cookie, thông tin thẻ tín dụng cùng với dữ liệu từ trình quản lý mật khẩu, tin nhắn, ứng dụng email, ví tiền điện tử cho tin tặc. Kể từ đó đến nay, ít nhất bốn phần mềm đánh cắp thông tin khác đã xuất hiện, bao gồm BlackGuard, Mars Stealer, META, và Raccoon Stealer.

Mối đe dọa từ sự gia tăng các phần mềm đánh cắp thông tin

Sự gia tăng các phần mềm độc hại đánh cắp thông tin ngày càng trở nên phổ biến với các quy mô tấn công khác nhau trong những tháng gần đây. Hai phần mềm độc hại đánh cắp thông tin mới có tên FFDroider và Lightning Stealer có khả năng đánh cắp dữ liệu và khởi động các cuộc tấn công tiếp theo đang trở thành những mối đe dọa hết sức nghiêm trọng.

Bằng cách đánh cắp thông tin đăng nhập và cookie được lưu trữ trong trình duyệt, FFDroider và Lightning Stealer có thể chiếm quyền kiểm soát các tài khoản mạng xã hội của nạn nhân. Những tài khoản mạng xã hội này thậm chí còn thu hút tin tặc hơn nữa nếu như chúng có quyền truy cập vào các nền tảng quảng cáo của các mạng xã hội. Từ đó, tin tặc có thể sử dụng tài khoản của nạn nhân để chạy các quảng cáo độc hại, tạo ra sự lây nhiễm với quy mô lớn. Không giống như những mã độc đánh cắp thông tin khác, Lightning Stealer và FFDroider lưu trữ tất cả dữ liệu bị đánh cắp ở định dạng file JSON. Theo các nhà nghiên cứu của Trung tâm Giám sát an toàn không gian mạng quốc gia (có trụ sở tại Mỹ, Úc, Singapore và Ấn Độ) cho biết: “Những phần mềm đánh cắp thông tin đang sử dụng các kỹ thuật mới để trở nên khó phát hiện hơn”.

Hình 1. Lightning Stealer và FFDroider lưu trữ dữ liệu đánh cắp dưới dạng chuỗi JSON sử dụng phương thức JsonSerializer.Serialize()

Đối với phần mềm Lightning Stealer, các phương thức trong hàm Main() của nó chịu trách nhiệm thực thi nhiệm vụ đánh cắp dữ liệu. Lightning Stealer thực hiện gọi phương thức Input.GetLogGecko(). Phương thức này sẽ trả về mật khẩu, cookie và lịch sử bị đánh cắp từ trình duyệt sau khi được thực thi.

Hình 2. Cấu trúc hàm Main() của Lightning Stealer

Các trình duyệt lưu trữ dữ liệu người dùng trong thư mục “AppData\Browser_name”. Lightning Stealer sẽ kiểm tra thư mục này cùng với các tệp dưới đây:

key4.db: Lưu trữ các khóa mã hóa và mật khẩu chính cho logins.json.
logins.json: Những tệp này lưu trữ tên người dùng và mật khẩu.
place.sqlite: Tệp này lưu trữ dữ liệu lịch sử tìm kiếm, tải xuống.

Trước tiên, Lightning Stealer thực hiện đánh cắp dữ liệu từ tệp “login.json” và tìm kiếm các thư viện liên kết động là mozglue.dll, nss3.dll, được sử dụng để giải mã tệp “login.json” và key4.db.

Hình 3. Lightning Stealer đánh cắp thông tin đăng nhập trên trình duyệt

Tương tự, phần mềm độc hại Lightning Stealer thực hiện đánh cắp lịch sử của trình duyệt trong các tệp “place.sqlite”.

Hình 4. Lightning Stealer đánh cắp lịch sử của trình duyệt

Đối với FFDroider, theo tổ chức bảo mật Zscaler của Anh, FFDroider lây nhiễm qua các phần mềm crack, giả mạo phần mềm miễn phí, game crack và các tệp khác được tải xuống từ các trang torrent. Các trang mạng xã hội được FFDroider nhắm tới bao gồm Facebook, Instagram, Twitter, Amazon, eBay.

Hình 5. Quy trình tấn công của mã độc FFDroider

Các nhà nghiên cứu cũng cho biết thêm: sau khi đánh cắp thông tin và gửi về máy chủ ra lệnh và kiểm soát C2 (Command and Control), các phần mềm độc hại đánh cắp dữ liệu như Lightning Stealer và FFDroider sẽ tải về các mô-đun mới, cho phép mở rộng các tính năng theo thời gian. Hiện vẫn chưa biết các mô-đun mới sẽ có nhiệm vụ gì nhưng theo dự đoán chúng sẽ tạo ra những mối đe dọa lớn hơn.

Trương Đình Dũng

(tổng hợp)

‹ › ×

Tin liên quan

Phòng chống Ransomware hoàn hảo hơn với công nghệ học sâu đầu tiên trên thế giới

12:00 | 18/05/2022

Trong bối cảnh hiện nay, các cuộc tấn công mạng ngày càng trở nên tinh vi, phức tạp với nhiều chiến thuật, kỹ thuật nâng cao, các mã độc mới chưa có mẫu nhận diện. Hầu hết các nền tảng và giải pháp bảo mật nâng cao thường đang tập trung vào phát hiện (Detection), điều tra (Investigate) và xử lý, khắc phục (response) các sự cố an toàn thông tin đã xảy ra. Đây là phương pháp tiếp cận tốt, tuy nhiên vẫn còn thiếu sót trong chiến lược bảo mật hệ thống, đặc biệt là bảo vệ hệ thống trước một trong những mối đe dọa an ninh nâng cao như mã độc tống tiền mới.

Apple ra mắt chế độ Lockdown để chặn các cuộc tấn công phần mềm gián điệp

14:00 | 19/07/2022

Đầu tháng 7, Apple đã công bố một tính năng bảo mật mới có tên gọi chế độ Lockdown (Lockdown Mode) để bảo vệ người dùng trước các nguy cơ cuộc tấn công bằng phần mềm gián điệp.

Lỗ hổng nguy hiểm trong PLC Rockwell có thể cho phép tin tặc triển khai mã độc hại

10:00 | 08/04/2022

Hai lỗ hổng nghiêm trọng mới đây vừa được các nhà nghiên cứu tại công ty bảo mật Claroty (Mỹ) phát hiện trong bộ điều khiển lập trình (programmable logic controller - PLC) và phần mềm máy trạm kỹ thuật (engineering workstation software) do tập đoàn công nghệ Rockwell Automation phát triển, có thể bị tin tặc lợi dụng để cài đặt mã độc vào các hệ thống bị ảnh hưởng và bí mật sửa đổi các quy trình tự động hóa.

Những ứng dụng cần gỡ để tránh bị đánh cắp mật khẩu Facebook và tiền mã hóa của người dùng

10:00 | 27/05/2022

Nếu đang cài một trong số các ứng dụng dưới đây, người dùng cần ngay lập tức xóa chúng khỏi điện thoại để bảo vệ tài khoản Facebook và tiền mã hóa.

Phần mềm độc hại Process Manager nghe lén người dùng

10:00 | 08/04/2022

Các nhà nghiên cứu tại Lab52 (Italy) đã phát hiện phần mềm độc hại Process Manager có khả năng ghi lại âm thanh, theo dõi vị trí của người dùng. Ứng dụng độc hại này ẩn giấu bên trong một số ứng dụng trên Google Play.

Dự đoán các mối đe dọa trực tuyến năm 2023

10:00 | 03/03/2023

Trong bối cảnh các mối đe dọa trực tuyến liên tục thay đổi và đã phát triển đáng kể trong vài năm qua, với sự mở rộng của các hoạt động như mã độc tống tiền, lừa đảo tiền điện tử, các loại phần mềm gián điệp, trojan,… Trong năm 2022, thông qua các chiến dịch tấn công mạng, thị phần tội phạm đã và đang hình thành những loại hình mới, phương thức mới, với phần lớn theo đuổi các mục tiêu chung, đó là lợi nhuận tài chính hay các tác động đến chính trị. Tuy nhiên, cách thức thực hiện các cuộc tấn công mạng lại thay đổi theo từng năm, và việc hiểu được những thay đổi trong chiến thuật và công cụ của tin tặc có thể giúp các tổ chức cải thiện khả năng bảo mật. Bài báo sẽ đưa ra những dự đoán một số nội dung chính về bối cảnh mối đe dọa trực tuyến đối với người dùng vào năm 2023 dựa trên những báo cáo đánh giá và phân tích dự báo của hãng bảo mật Kaspersky.

FortiGuard Labs cảnh báo mã độc tống tiền tiếp tục gây thêm nhiều thiệt hại nặng nề

09:00 | 17/03/2022

Mức độ tinh vi, tốc độ và tính đa dạng của các kỹ thuật tấn công cho thấy tầm quan trọng của việc tăng cường toàn bộ hệ thống chuỗi tiêu diệt các cuộc tấn công mạng (Cyber Kill Chain).

Tin cùng chuyên mục

Chiến dịch phần mềm Sign1 đã xâm phạm hơn 39.000 trang web WordPress

09:00 | 02/04/2024

Một chiến dịch phần mềm độc hại trên quy mô lớn có tên Sign1 đã xâm phạm hơn 39.000 trang web WordPress trong 6 tháng qua, sử dụng cách thức chèn mã JavaScript độc hại để chuyển hướng người dùng đến các trang web lừa đảo.

Tin tặc lợi dụng khai thác MultiLogin của Google để chiếm quyền điều khiển phiên người dùng

10:00 | 31/01/2024

Các nhà nghiên cứu tại công ty an ninh mạng CloudSEK (Ấn Độ) cho biết: tin tặc đang phân phối phần mềm đánh cắp thông tin bằng cách lợi dụng điểm cuối Google OAuth có tên MultiLogin để chiếm quyền điều khiển phiên của người dùng và cho phép truy cập liên tục vào các dịch vụ của Google ngay cả sau khi đặt lại mật khẩu.

Giải mã biến thể mới của phần mềm độc hại Bandook

09:00 | 29/01/2024

Các nhà nghiên cứu đến từ hãng bảo mật Fortinet (Mỹ) phát hiện một biến thể mới của Trojan truy cập từ xa có tên Bandook đang được phân phối thông qua các cuộc tấn công lừa đảo nhằm mục đích xâm nhập vào các máy tính Windows. Bài viết sẽ phân tích hành vi của Bandook, cung cấp thông tin chi tiết về các thành phần được sửa đổi trong biến thể mới và giải mã một số ví dụ về cơ chế giao tiếp máy chủ ra lệnh và điều khiển (C2) của phần mềm độc hại này.

Lỗ hổng Terrapin mới cho phép tin tặc hạ cấp bảo mật giao thức SSH

08:00 | 11/01/2024

Các nhà nghiên cứu bảo mật từ Đại học Ruhr Bochum (Đức) phát hiện ra một lỗ hổng trong giao thức mạng mật mã Secure Shell (SSH) có thể cho phép kẻ tấn công hạ cấp bảo mật của kết nối bằng cách phá vỡ tính toàn vẹn của kênh an toàn.