Theo phát hiện của hãng bảo mật Check Point (Israel) trong quá trình điều tra các cuộc tấn công, các tác nhân đe dọa có thể sử dụng trình tải phần mềm độc hại GodLoader để nhắm mục tiêu vào người dùng Godot Gaming Engine, một nền tảng phát triển trò chơi nguồn mở được sử dụng để xây dựng cả trò chơi 2D và 3D trên Windows, macOS, Linux, Android, iOS, HTML5 và các nền tảng khác.
Bên cạnh đó, GodLoader cũng được sử dụng để tận dụng tính linh hoạt của Godot và khả năng của GDScript (ngôn ngữ lập trình giống Python của Godot) để thực thi mã tùy ý và vượt qua các hệ thống phát hiện bằng cách sử dụng các tệp [.]pck của công cụ trò chơi, đóng gói các tài sản trò chơi, để nhúng các tập lệnh có hại.
Sau khi tải, các tệp được tạo độc hại sẽ kích hoạt mã độc trên thiết bị của nạn nhân, cho phép kẻ tấn công đánh cắp thông tin đăng nhập hoặc tải xuống các payload bổ sung, bao gồm cả phần mềm đánh cắp thông tin RedLine và trình khai thác tiền điện tử XMRig. Cấu hình của phần mềm độc hại này được lưu trữ trên tệp Pastebin riêng được tải lên vào tháng 5/2024, đã được truy cập 206.913 lần trong suốt chiến dịch.
RedLine là phần mềm độc hại tinh vi có khả năng đánh cắp mật khẩu, thông tin chi tiết về ví tiền điện tử và các dữ liệu khác được lưu trữ trong trình duyệt, dữ liệu nhạy cảm, cookie phiên,... Trong khi đó, XMRig biến thiết bị bị lây nhiễm thành một công cụ khai thác tiền điện tử, tạo ra các mã thông báo cho kẻ tấn công.
“Kể từ ngày 29/6/2024, tội phạm mạng đã lợi dụng Godot Engine để thực thi mã GDScript được tạo ra để kích hoạt các lệnh độc hại và phát tán phần mã độc. Kỹ thuật này hầu như chưa bị các công cụ antivirus trên VirusTotal phát hiện, nên có khả năng đã lây nhiễm cho hơn 17.000 máy chỉ trong vài tháng”, Check Point cho biết.
Godot có một cộng đồng các nhà phát triển năng động và ngày càng lớn mạnh, những người coi trọng bản chất mã nguồn mở và khả năng mạnh mẽ của nó. Hơn 2.700 nhà phát triển đã đóng góp vào công cụ chơi game Godot, trong khi trên các nền tảng như Discord, YouTube và các nền tảng truyền thông xã hội khác, công cụ Godot có khoảng 80.000 người theo dõi, những người luôn cập nhật tin tức mới nhất.
Chuỗi lây nhiễm
Những kẻ tấn công đã phát tán phần mềm độc hại GodLoader thông qua Stargazers Ghost Network, một phần mềm độc hại phân phối dịch vụ (DaaS) nhằm che giấu hoạt động của nó bằng cách sử dụng GitHub.
Từ tháng 9/2024 đến tháng 10/2024, các tin tặc đã sử dụng hơn 200 kho lưu trữ do hơn 225 tài khoản Stargazer Ghost kiểm soát để triển khai phần mềm độc hại vào hệ thống mục tiêu, lợi dụng lòng tin của nạn nhân tiềm năng vào các nền tảng nguồn mở và các kho lưu trữ phần mềm với vỏ bọc hợp pháp.
Trong suốt chiến dịch, Check Point đã phát hiện 4 đợt tấn công riêng biệt nhằm vào các nhà phát triển và game thủ từ ngày 12/9 đến ngày 3/10, dụ dỗ họ tải xuống các công cụ và trò chơi bị nhiễm mã độc.
Trong khi các nhà nghiên cứu bảo mật chỉ phát hiện ra các mẫu GodLoader nhắm vào hệ thống Windows, họ cũng đã phát triển mã khai thác PoC GDScript cho thấy phần mềm độc hại này có thể dễ dàng được điều chỉnh để tấn công hệ thống Linux và macOS như thế nào.
Stargazer Goblin, tác nhân đe dọa đứng sau nền tảng DaaS Stargazers Ghost Network được sử dụng trong các cuộc tấn công này, lần đầu tiên bị Check Point phát hiện khi đang quảng bá dịch vụ phân phối phần mềm độc hại này trên dark web vào tháng 6/2023. Tuy nhiên, có khả năng nó đã hoạt động từ ít nhất tháng 8/2022, kiếm được hơn 100.000 USD kể từ khi dịch vụ này ra mắt.
Stargazers Ghost Network sử dụng hơn 3.000 tài khoản “ma” trên GitHub để tạo ra mạng lưới gồm hàng trăm kho lưu trữ có thể được sử dụng để phân phối phần mềm độc hại (chủ yếu là các phần mềm đánh cắp thông tin như RedLine, Lumma Stealer, Rhadamanthys, RisePro và Atlantida Stealer) và sao chép, phân nhánh và đăng ký các kho lưu trữ độc hại này để đưa chúng lên phần thịnh hành của GitHub và tăng tính hợp pháp.
Lê Hải Yến
09:00 | 08/06/2023
10:00 | 24/12/2024
15:00 | 26/01/2025
12:00 | 23/12/2024
15:00 | 17/12/2024
07:00 | 08/02/2023
11:00 | 29/05/2021
10:00 | 13/02/2025
Một nghiên cứu đáng báo động vừa được công bố cho thấy, số lượng thanh thiếu niên Mỹ bị lừa đảo trực tuyến đang gia tăng do sự góp mặt của các nội dung giả mạo được tạo ra bởi AI.
22:00 | 26/01/2025
Năm 2024 ghi dấu nhiều chuyển biến trong lĩnh vực bảo mật và an toàn thông tin tại Việt Nam. Dù đạt được những bước tiến trong việc củng cố hệ thống phòng thủ thì các tổ chức, doanh nghiệp vẫn phải đối mặt với thách thức từ các cuộc tấn công mạng ngày càng tinh vi. Tuy nhiên, với sự hợp tác chặt chẽ giữa các cơ quan, tổ chức và người dùng, cùng với những bài học kinh nghiệm quý báu sẽ là nền tảng cho các bước tiến đột phá về an ninh mạng năm 2025. Tạp chí An toàn thông tin kính mời quý vị điểm qua 10 sự kiện nổi bật định hình bức tranh an ninh mạng Việt Nam năm qua.
10:00 | 26/12/2024
"Gã khổng lồ" công nghệ Apple vừa có động thái công kích đối thủ Meta, cáo buộc Meta liên tục đòi hỏi quyền truy cập vào các công cụ phần mềm cốt lõi, làm dấy lên lo ngại về nguy cơ xâm phạm quyền riêng tư người dùng. Cuộc đối đầu giữa hai "ông lớn" này đang ngày càng nóng lên tại thị trường châu Âu.
08:00 | 24/12/2024
Hội thảo khoa học quốc tế lần thứ nhất về Mật mã và An toàn thông tin (The IEEE International Conference on Cryptography and Information Securiry - VCRIS 2024) là sự kiện do Học viện Kỹ thuật mật mã phối hợp với các cơ quan khoa học uy tín trong và ngoài nước tổ chức, dưới sự chỉ đạo của Ban Cơ yếu Chính phủ. Phóng viên Tạp chí An toàn thông tin đã có cuộc phỏng vấn GS.TS Nguyễn Hiếu Minh, Phó Giám đốc Học viện Kỹ thuật mật mã, Ban Tổ chức Hội thảo VCRIS 2024 về ý nghĩa, mục tiêu và các nội dung liên quan đến Hội thảo.
Chatbot AI DeepSeek đang tạo ra làn sóng chấn động trên Phố Wall và ảnh hưởng mạnh mẽ đến Nvidia, khiến cổ phiếu công ty này bốc hơi 600 tỷ USD chỉ trong một ngày. Không chỉ có vậy, DeepSeek cũng đã vượt qua chatbot AI ChatGPT để vươn lên dẫn đầu trên App Store về danh mục ứng dụng miễn phí. Sự phát triển nhanh chóng mặt này đã khiến các công ty trí tuệ nhân tạo (AI) cũng như các chính phủ phương Tây và Cơ quan Hàng không Vũ trụ Mỹ (NASA) phải lên tiếng cảnh báo.
13:00 | 14/02/2025
Khép lại năm 2024, Lãnh đạo Ban Cơ yếu Chính phủ, cấp ủy, lãnh đạo các cấp trong toàn lực lượng cơ yếu, nhất là đội ngũ cán bộ chủ chốt đã chủ động bám sát yêu cầu nhiệm vụ và thực tiễn, cùng với sự nỗ lực rất lớn của toàn thể cán bộ, nhân viên ngành Cơ yếu Việt Nam tổ chức triển khai đồng bộ, toàn diện trên các mặt công tác, hoàn thành tốt nhiệm vụ được giao, trong đó có nhiều nhiệm vụ hoàn thành xuất sắc, tiếp tục khẳng định vị thế, vai trò đặc biệt quan trọng của hoạt động cơ yếu. Dưới đây là 10 dấu ấn nổi bật trong năm 2024 của ngành Cơ yếu Việt Nam.
08:00 | 29/01/2025
Hãng công nghệ Google thông báo sẽ phát hành các ứng dụng điện toán lượng tử thương mại trong vòng 5 năm tới. Động thái này được xem là lời thách thức trực tiếp tới những dự đoán thận trọng hơn từ Nvidia, vốn cho rằng phải mất tới 20 năm nữa công nghệ này mới thực sự hữu dụng.
13:00 | 14/02/2025