Tin tặc triển khai công cụ đánh cắp thông tin dựa trên Python qua Facebook Messenger

10:00 | 15/09/2023 | HACKER / MALWARE

Nhà nghiên cứu Oleg Zaytsev của Công ty An ninh mạng Guardio Labs vừa cho biết, một nhóm tin tặc có nguồn gốc từ Việt Nam đã phát tán một file nén qua Facebook Messenger. File nén này chứa công cụ đánh cắp dựa trên Python cùng các phương pháp ‘ẩn náu’ đơn giản nhưng hiệu quả.

Tin tặc triển khai công cụ đánh cắp thông tin dựa trên Python qua Facebook Messenger

Hình 1. Tin nhắn Messenger đính kèm tệp độc hại

Trong các cuộc tấn công, tin tặc sẽ gửi tin nhắn và dụ dỗ nạn nhân mở những file nén zip hoặc rar qua Facebook Messenger. Sau khi được thực thi, mã độc sẽ tải các tệp từ GitHub hoặc GitLab, các tệp này chứa phần mềm đánh cắp được viết bằng Python để lọc tất cả cookie và thông tin đăng nhập của nạn nhân từ các trình duyệt web khác nhau đến điểm cuối API Telegram hoặc Discord do tin tặc kiểm soát.

Một chiến thuật thông minh được tin tặc áp dụng bao gồm việc xóa tất cả cookie sau khi đánh cắp chúng, đăng xuất nạn nhân khỏi tài khoản của họ và tiếp đó những kẻ tấn công chiếm quyền điều khiển phiên của họ bằng cách sử dụng cookie bị đánh cắp thay thế đổi mật khẩu sau đó dành quyền kiểm soát tài khoản.

Hình 2. Phương thức hoạt động của phần mềm đánh cắp

Mã nguồn của phần mềm đánh cắp này có sự hiện diện của tiếng Việt và trình duyệt Cốc Cốc - là một trình duyệt dựa trên Chrome phổ biến ở Việt Nam. Mặc dù thực tế là việc kích hoạt lây nhiễm đòi hỏi sự tương tác của người dùng để tải xuống tệp, giải nén và thực thi tệp đính kèm, Guardio Labs nhận thấy rằng chiến dịch đã chứng kiến tỷ lệ thành công cao khi ước tính cứ 250 nạn nhân thì có 1 người đã bị nhiễm trong 30 năm qua.

Zaytsev cho biết: “Những tài khoản Facebook có danh tiếng, xếp hạng người bán và số lượng người theo dõi cao có thể dễ dàng kiếm tiền trên thị trường chợ đen. Những tài khoản đó được sử dụng để tiếp cận nhiều đối tượng nhằm truyền bá quảng cáo cũng như phát tán các chiêu trò lừa đảo". Tiết lộ này được đưa ra vài ngày sau khi WithSecure và Zscaler ThreatLabz trình bày chi tiết các chiến dịch Ducktail và Duckport mới nhắm mục tiêu vào các tài khoản Meta Business và Facebook.

Lê Thị Bích Hằng

(Theo The Hacker News)

‹ › ×

Tin liên quan

Meta triển khai mã hóa đầu cuối mặc định trên Facebook Messenger

10:00 | 13/12/2023

Meta đã chính thức triển khai hỗ trợ mã hóa đầu cuối - End-to-end encryption (E2EE) trong ứng dụng Messenger cho các cuộc gọi và tin nhắn cá nhân theo mặc định trong bản cập nhật mới lần này, bên cạnh một số bộ tính năng mới cho phép người dùng có thể kiểm soát và thao tác dễ dàng và hiệu quả hơn trong các cuộc trò chuyện.

Công cụ đánh cắp thông tin Legion mới dựa trên Python xuất hiện trên Telegram

12:00 | 28/04/2023

Một công cụ đánh cắp thông tin xác thực được phát triển trên nền tảng Python có tên là “Legion” đang được phân phối qua Telegram như một cách thức để các tin tặc xâm nhập vào các dịch vụ trực tuyến khác nhau để tấn công mạng mục tiêu.

Các tin tặc nhắm mục tiêu vào các thiết bị đầu cuối từ xa để đánh cắp thông tin xác thực và tải phần mềm độc hại

14:00 | 11/10/2023

Theo khảo sát mới đây của công ty bảo mật CyberRisk Alliance (CRA), nhiều công ty thường không chú trọng đến bảo mật các thiết bị đầu cuối như IoT hay điện thoại thông minh, dẫn đến những nguy cơ bị tin tặc khai thác để xâm nhập trái phép vào hệ thống mạng, từ đó thực hiện đánh cắp thông tin và phân phối phần mềm độc hại.

Mã độc tấn công nhiều tài khoản Facebook tại Việt Nam

15:00 | 31/08/2023

Mới đây, hệ thống giám sát và cảnh báo mã độc của Bkav đã ghi nhận số lượng máy tính nhiễm mã độc Fabookie tăng đột biến. Bkav cho biết, trong tháng 7/2023, đã có hơn 100.000 máy tính tại Việt Nam bị nhiễm mã độc Fabookie - chuyên đánh cắp tài khoản Facebook Bussiness.

Nguy cơ máy chủ mail Exim bị tấn công từ xa

08:00 | 13/10/2023

Các lỗ hổng bảo mật gần đây được phát hiện trong máy chủ Exim có thể cho phép kẻ tấn công xâm nhập vào hệ thống và giành quyền truy cập dữ liệu nhạy cảm, bao gồm cả email. Đây không phải là lần đầu tiên lỗ hổng bảo mật được phát hiện đối với các máy chủ email. Vào tháng 5/2021, tổ chức cung cấp giải pháp bảo mật Qualys đã tiết lộ một bộ 21 lỗ hổng được gọi chung là “21Nails” cho phép những kẻ tấn công không được xác thực có thể thực thi mã từ xa và giành quyền kiểm soát hệ thống trên hàng triệu máy chủ email.

Google dừng hợp tác với nhà cung ứng chip AI Broadcom

10:00 | 05/10/2023

Theo Hãng Reuters đưa tin, Google đã đưa Broadcom ra khỏi danh sách nhà cung ứng chip AI vào đầu năm 2027. Gã khổng lồ đang tìm kiếm kế hoạch tự thiết kế những con chip TPU, nhằm tiết kiệm hàng tỷ USD chi phí mỗi năm.

Giải mã Ducktail: Phần mềm độc hại có nguồn gốc từ Việt Nam

07:00 | 11/12/2023

Hoạt động từ cuối năm 2021, Ducktail là họ phần mềm độc hại nhằm mục đích đánh cắp tài khoản doanh nghiệp trên Facebook. Theo báo cáo của 2 hãng bảo mật WithSecure (Phần Lan) và GridinSoft (Ukraine) cho biết các cuộc tấn công Ducktail được thực hiện bởi một nhóm tin tặc đến từ Việt Nam.

Cảnh báo phần mềm độc hại Mystic Stealer mới đánh cắp thông tin trên các trình duyệt web và ví tiền điện tử

14:00 | 22/06/2023

Một phần mềm độc hại đánh cắp thông tin mới có tên gọi là “Mystic Stealer” đã được quảng bá trên các diễn đàn tin tặc kể từ tháng 4/2023 và nhanh chóng thu hút được sự chú ý trong cộng đồng tội phạm mạng.

Bóc tách gói PyPI độc hại mới khai thác tiền điện tử trên các thiết bị Linux

08:00 | 25/01/2024

Tháng 12/2023, các nhà nghiên cứu của hãng bảo mật Fortinet xác định được ba gói độc hại mới trong kho lưu trữ nguồn mở Python Package Index (PyPI) có khả năng triển khai tệp thực thi CoinMiner để khai thác tiền điện tử trên các thiết bị Linux bị ảnh hưởng. Các nhà nghiên cứu cho rằng các chỉ số xâm phạm (IoC) của các gói này có điểm tương đồng với gói PyPI Culturestreak được phát hiện vào đầu tháng 9/2023. Bài viết này sẽ phân tích các giai đoạn tấn công của ba gói PyPI độc hại này, trong đó tập trung vào những điểm tương đồng và sự phát triển của chúng so với gói Culturestreak.

Tin cùng chuyên mục

Thêm vụ tấn công mã hóa dữ liệu giống VnDirect, tin tặc đòi 140 triệu USD

10:00 | 10/04/2024

Một nhà cung cấp dịch vụ trung tâm dữ liệu bị tấn công với hình thức và thủ đoạn tương tự như vụ tấn công mã độc tống tiền vào VnDirect, chỉ khác về loại mã độc cụ thể mà tin tặc dùng để mã hóa dữ liệu.

Lỗ hổng Kubernetes cho phép thực thi mã từ xa trên điểm cuối Windows

09:00 | 01/04/2024

Vừa qua, công ty bảo mật đám mây Akamai (Mỹ) đã đưa ra cảnh báo về việc khai thác lỗ hổng Kubernetes ở mức độ nghiêm trọng cao, có thể dẫn đến việc thực thi mã tùy ý với các đặc quyền hệ thống trên tất cả các điểm cuối Windows trong một cụm (cluster).

Lỗ hổng mới trên chip Qualcomm cho phép tin tặc tấn công từ xa bằng cuộc gọi thoại

07:00 | 15/01/2024

Công ty bán dẫn toàn cầu Qualcomm của Mỹ tiết lộ một lỗ hổng nghiêm trọng mới cho phép các tác nhân đe dọa thực hiện tấn công từ xa thông qua các cuộc gọi thoại qua mạng LTE.

Tổng quan về mã độc Pegasus

07:00 | 15/01/2024

Pegasus được đánh giá là một trong những phần mềm gián điệp mạnh mẽ nhất hiện nay, chúng có các chức năng đánh cắp dữ liệu toàn diện hơn rất nhiều so với các phần mềm gián điệp khác, với khả năng thu thập thông tin mọi thứ từ dữ liệu có giá trị cao như mật khẩu, danh bạ và các dữ liệu từ các ứng dụng khác. Trong bài báo này, tác giả sẽ giới thiệu tổng quan về mã độc Pegasus và biến thể Chrysaor cùng các phương thức tấn công và cách phòng chống mã độc nguy hiểm này.