Hình 1. Tin nhắn Messenger đính kèm tệp độc hại
Trong các cuộc tấn công, tin tặc sẽ gửi tin nhắn và dụ dỗ nạn nhân mở những file nén zip hoặc rar qua Facebook Messenger. Sau khi được thực thi, mã độc sẽ tải các tệp từ GitHub hoặc GitLab, các tệp này chứa phần mềm đánh cắp được viết bằng Python để lọc tất cả cookie và thông tin đăng nhập của nạn nhân từ các trình duyệt web khác nhau đến điểm cuối API Telegram hoặc Discord do tin tặc kiểm soát.
Một chiến thuật thông minh được tin tặc áp dụng bao gồm việc xóa tất cả cookie sau khi đánh cắp chúng, đăng xuất nạn nhân khỏi tài khoản của họ và tiếp đó những kẻ tấn công chiếm quyền điều khiển phiên của họ bằng cách sử dụng cookie bị đánh cắp thay thế đổi mật khẩu sau đó dành quyền kiểm soát tài khoản.
Hình 2. Phương thức hoạt động của phần mềm đánh cắp
Mã nguồn của phần mềm đánh cắp này có sự hiện diện của tiếng Việt và trình duyệt Cốc Cốc - là một trình duyệt dựa trên Chrome phổ biến ở Việt Nam. Mặc dù thực tế là việc kích hoạt lây nhiễm đòi hỏi sự tương tác của người dùng để tải xuống tệp, giải nén và thực thi tệp đính kèm, Guardio Labs nhận thấy rằng chiến dịch đã chứng kiến tỷ lệ thành công cao khi ước tính cứ 250 nạn nhân thì có 1 người đã bị nhiễm trong 30 năm qua.
Zaytsev cho biết: “Những tài khoản Facebook có danh tiếng, xếp hạng người bán và số lượng người theo dõi cao có thể dễ dàng kiếm tiền trên thị trường chợ đen. Những tài khoản đó được sử dụng để tiếp cận nhiều đối tượng nhằm truyền bá quảng cáo cũng như phát tán các chiêu trò lừa đảo". Tiết lộ này được đưa ra vài ngày sau khi WithSecure và Zscaler ThreatLabz trình bày chi tiết các chiến dịch Ducktail và Duckport mới nhắm mục tiêu vào các tài khoản Meta Business và Facebook.
Lê Thị Bích Hằng
(Theo The Hacker News)
10:00 | 13/12/2023
12:00 | 28/04/2023
14:00 | 11/10/2023
15:00 | 31/08/2023
08:00 | 13/10/2023
10:00 | 05/10/2023
07:00 | 11/12/2023
14:00 | 22/06/2023
08:00 | 25/01/2024
10:00 | 10/04/2024
Một nhà cung cấp dịch vụ trung tâm dữ liệu bị tấn công với hình thức và thủ đoạn tương tự như vụ tấn công mã độc tống tiền vào VnDirect, chỉ khác về loại mã độc cụ thể mà tin tặc dùng để mã hóa dữ liệu.
09:00 | 01/04/2024
Vừa qua, công ty bảo mật đám mây Akamai (Mỹ) đã đưa ra cảnh báo về việc khai thác lỗ hổng Kubernetes ở mức độ nghiêm trọng cao, có thể dẫn đến việc thực thi mã tùy ý với các đặc quyền hệ thống trên tất cả các điểm cuối Windows trong một cụm (cluster).
07:00 | 15/01/2024
Công ty bán dẫn toàn cầu Qualcomm của Mỹ tiết lộ một lỗ hổng nghiêm trọng mới cho phép các tác nhân đe dọa thực hiện tấn công từ xa thông qua các cuộc gọi thoại qua mạng LTE.
07:00 | 15/01/2024
Pegasus được đánh giá là một trong những phần mềm gián điệp mạnh mẽ nhất hiện nay, chúng có các chức năng đánh cắp dữ liệu toàn diện hơn rất nhiều so với các phần mềm gián điệp khác, với khả năng thu thập thông tin mọi thứ từ dữ liệu có giá trị cao như mật khẩu, danh bạ và các dữ liệu từ các ứng dụng khác. Trong bài báo này, tác giả sẽ giới thiệu tổng quan về mã độc Pegasus và biến thể Chrysaor cùng các phương thức tấn công và cách phòng chống mã độc nguy hiểm này.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024