Phần mềm độc hại Typhon
Typhon lần đầu tiên được phát hiện vào tháng 8/2022 bởi các nhà nghiên cứu tại công ty an ninh mạng Cyble, bao gồm nhiều tính năng nổi bật để thu thập thông tin như chiếm quyền điều khiển clipboard, chụp ảnh màn hình, ghi lại các thao tác bàn phím và đánh cắp dữ liệu từ ví điện tử, ứng dụng nhắn tin, FTP, VPN, trình duyệt cũng như nhiều trò chơi khác nhau. Dựa trên một phần mềm độc hại đánh cắp thông tin có tên là “Prynt Stealer”, Typhon cũng có khả năng cung cấp công cụ khai thác tiền điện tử XMRig. Vào tháng 11/2022, nhóm nghiên cứu mối đe dọa Unit 42 của hãng bảo mật Palo Alto Networks đã phát hiện một phiên bản cập nhật có tên là Typhon Reborn.
Theo báo cáo từ công ty bảo mật Cisco Talos, phiên bản Typhon Reborn V2 mới bắt đầu được quảng bá trên các diễn đàn ngầm từ tháng 1/2023 và đã được mua nhiều lần. Tuy nhiên, các nhà nghiên cứu đã phát hiện ra các mẫu của Typhon Reborn V2 trên thực tế đã xuất hiện từ tháng 12/2022. Nhà nghiên cứu Edmund Brumaghin của Cisco Talos cho biết: “Trình đánh cắp có thể thu thập và lọc thông tin nhạy cảm, đồng thời sử dụng API Telegram để gửi dữ liệu bị đánh cắp cho tin tặc”.
Phiên bản mới khác biệt
Các nhà nghiên cứu của Unit 42 chia sẻ rằng: “Phiên bản phần mềm độc hại mới này đã tăng cường các kỹ thuật chống phân tích và được sửa đổi để cải thiện các tính năng đánh cắp dữ liệu, đồng thời loại bỏ các tính năng hiện có như keylogging và khai thác tiền điện tử nhằm giảm cơ hội bị phát hiện”. Theo Cisco Talos, cơ sở mã cho Typhon Reborn V2 đã được sửa đổi rất nhiều để khiến cho mã độc trở nên mạnh mẽ, đáng tin cậy và ổn định hơn. Việc làm xáo trộn chuỗi đã được cải tiến bằng cách sử dụng mã hóa Base64 và XOR, khiến cho việc phân tích phần mềm độc hại trở thành một nhiệm vụ khó khăn hơn.
Giải mã chuỗi
Các nhà nghiên cứu đã nhận thấy một cơ chế toàn diện hơn để tránh lây nhiễm cho các máy phân tích, khi Typhon Reborn V2 xem xét nhiều tiêu chí bao gồm tên người dùng, CPUID, ứng dụng, quy trình, trình gỡ lỗi/kiểm tra mô phỏng và dữ liệu định vị vị trí trước khi thực thi các quy trình độc hại. Tương tự như các phần mềm độc hại khác, Typhon Reborn V2 đi kèm với các tùy chọn tránh lây nhiễm diện rộng trên nhiều quốc gia để tránh bị phát hiện, cụ thể Typhon Reborn V2 sẽ không lây nhiễm ở các hệ thống được đặt tại các nước thuộc Cộng đồng các quốc gia độc lập (CIS).
Danh sách loại trừ lây nhiễm mặc định
Tính năng mới đáng chú ý nhất là quy trình của Typhon để kiểm tra xem nó có chạy trên môi trường của nạn nhân chứ không phải máy chủ mô phỏng trên máy tính của nhà nghiên cứu hay không. Điều này bao gồm kiểm tra thông tin GPU, DLL được liên kết với phần mềm bảo mật, video controller đối với các chỉ số VM, thực hiện kiểm tra registry, tên người dùng,…
Kiểm tra được thực hiện bởi Typhon Reborn V2
Khả năng đánh cắp nhiều hơn
Khả năng thu thập dữ liệu đã được mở rộng trong Typhon Reborn V2 vì giờ đây nó nhắm mục tiêu vào một số lượng lớn ứng dụng, bao gồm cả ứng dụng khách chơi trò chơi. Tuy nhiên, có vẻ như tính năng này vẫn chưa hoạt động vì nó không thực thi trong các mẫu do Cisco Talos phân tích.
Các ứng dụng được nhắm mục tiêu bởi phiên bản Typhon Reborn V2
Typhon vẫn nhắm mục tiêu vào nhiều ứng dụng email, ứng dụng nhắn tin, ứng dụng ví tiền điện tử và tiện ích mở rộng trình duyệt, ứng dụng khách FTP, VPN và thông tin được lưu trữ trong trình duyệt web. Nó cũng có thể chụp ảnh màn hình từ thiết bị bị xâm nhập.
Chức năng chụp màn hình
Ngoài ra, một tính năng nổi bật khác là thành phần lấy tệp mới cho phép tin tặc có thể tìm kiếm và trích xuất các tệp cụ thể.
Cấu hình tùy chỉnh xác định loại tệp bị đánh cắp
Bên cạnh việc kết hợp nhiều kiểm tra chống phân tích và chống ảo hóa hơn, Typhon Reborn V2 loại bỏ các tính năng liên tục của nó, thay vào đó chọn tự chấm dứt sau khi trích xuất dữ liệu. Brumaghin cho biết: “Một khi dữ liệu đã được truyền thành công tới tin tặc, kho lưu trữ sẽ bị xóa khỏi hệ thống bị lây nhiễm. Phần mềm độc hại sau đó ra lệnh với chức năng tự động xóa để chấm dứt thực thi”.
Cuối cùng, phần mềm độc hại truyền dữ liệu đã thu thập được trong một kho lưu trữ nén thông qua HTTPS bằng cách sử dụng API Telegram, đây cũng là phương pháp được lựa chọn trong phiên bản đầu tiên của Typhon, qua đó cho thấy các tin tặc tiếp tục lạm dụng trên những nền tảng nhắn tin để thực hiện các hành vi độc hại.
Lọc dữ liệu của nạn nhân
Phân tích của Cisco Talos có thể giúp các nhà nghiên cứu phần mềm độc hại đưa ra các cơ chế phát hiện thích hợp cho phiên bản Typhon mới, vì chi phí tương đối thấp và khả năng giúp tăng mức độ phổ biến của nó. Bên cạnh phần mềm độc hại Typhon Reborn, Cyble cũng tiết lộ một phần mềm độc hại đánh cắp dựa trên Python mới có tên Creal nhắm mục tiêu đến người dùng tiền điện tử thông qua các trang web lừa đảo, bắt chước các dịch vụ khai thác tiền điện tử hợp pháp như Kryptex.
Phần mềm độc hại này giống Typhon Reborn ở chỗ nó được trang bị để đánh cắp các cookie và mật khẩu từ những trình duyệt web dựa trên Chromium cũng như dữ liệu từ các ứng dụng nhắn tin, trò chơi và ví tiền điện tử. Điều này cho thấy, mã nguồn của phần mềm độc hại có sẵn trên GitHub, do đó các tác nhân đe dọa khác có thể thay đổi phần mềm độc hại cho phù hợp với nhu cầu của chúng và biến nó thành một mối đe dọa tiềm ẩn. Cyble cho biết trong một báo cáo gần đây: “Creal Stealer có khả năng đánh cắp dữ liệu bằng cách sử dụng các tính năng webhook của Discord cùng nhiều nền tảng lưu trữ và chia sẻ như Anonfiles và Gofile. Xu hướng sử dụng mã nguồn mở trong phần mềm độc hại đang được các tin tặc gia tăng sử dụng, vì nó cho phép chúng tạo ra các cuộc tấn công tinh vi và tùy chỉnh với chi phí tối thiểu”.
Hồng Đạt
12:00 | 28/04/2023
07:00 | 03/04/2023
16:00 | 05/04/2023
10:00 | 16/02/2023
13:00 | 04/08/2023
10:00 | 17/05/2024
Một hacker bị cáo buộc đã đánh cắp cơ sở dữ liệu quan trọng do Tập đoàn giao dịch chứng khoán Luân Đôn (LSEG) duy trì có chứa thông tin về những kẻ khủng bố, tội phạm tiềm năng và các cá nhân có nguy cơ cao hiện đang bị đe dọa rò rỉ hàng loạt dữ liệu nhạy cảm.
13:00 | 19/03/2024
Cơ quan an ninh mạng Hoa Kỳ (CISA) đã yêu cầu các cơ quan của Chi nhánh điều hành dân sự liên bang Hoa Kỳ (FCEB) bảo mật hệ thống Windows của họ trước một lỗ hổng nghiêm trọng trong Dịch vụ phát trực tuyến của Microsoft (MSKSSRV.SYS).
14:00 | 22/02/2024
Các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một dòng phần mềm độc hại mới được phân phối một cách bí mật thông qua các ứng dụng, phần mềm bẻ khóa (crack), nhắm mục tiêu vào ví tiền điện tử của người dùng macOS. Theo các nhà nghiên cứu, mối đe dọa mới này có những tính năng nổi trội hơn so với việc cài đặt trái phép Trojan trên các máy chủ proxy đã được phát hiện trước đó.
09:00 | 29/01/2024
Các nhà nghiên cứu đến từ hãng bảo mật Fortinet (Mỹ) phát hiện một biến thể mới của Trojan truy cập từ xa có tên Bandook đang được phân phối thông qua các cuộc tấn công lừa đảo nhằm mục đích xâm nhập vào các máy tính Windows. Bài viết sẽ phân tích hành vi của Bandook, cung cấp thông tin chi tiết về các thành phần được sửa đổi trong biến thể mới và giải mã một số ví dụ về cơ chế giao tiếp máy chủ ra lệnh và điều khiển (C2) của phần mềm độc hại này.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Microsoft đã phát hiện ra một lỗ hổng nghiêm trọng có tên là Dirty Stream đe dọa các ứng dụng Android phổ biến.
14:00 | 17/05/2024
