Các ứng dụng nhắn tin ngày nay đã trở nên rất phổ biến, với nhiều tính năng nổi bật và không chỉ dừng lại ở việc gửi tin nhắn và còn nhiều tích hợp tiện ích khác. Điển hình như ứng dụng Discord và Telegram cung cấp các chức năng cho phép người dùng tạo và chia sẻ các chương trình hoặc các loại nội dung khác được sử dụng bên trong nền tảng. Các chương trình này thường được gọi là bot, cho phép người dùng chia sẻ tệp, chơi trò chơi, nhận tin tức, thông báo hoặc bất kỳ tác vụ tự động nào khác mà nhà phát triển có thể đặt ra. Tuy nhiên, đây lại là chương trình mà tin tặc đang tìm cách khai thác trong các cuộc tấn công.
Các nhà nghiên cứu của Intel 471 chia sẻ rằng các nhóm tin tặc đã sử dụng nền tảng Telegram và Discord để lưu trữ, phân phối và thực thi các chức năng khác nhau có thể cho phép chúng đánh cắp thông tin xác thực, hoặc một số thông tin khác từ các nạn nhân.
Các nhà nghiên cứu của Intel 471 đã phát hiện ra một số trình đánh cắp thông tin có sẵn miễn phí được xây dựng tùy chỉnh để hoạt động trên Discord hoặc Telegram. Một trong số này có tên gọi là Blitzed Grabber, sử dụng tính năng webhooks của Discord để lưu trữ dữ liệu bị đánh cắp. Tương tự như API, webhooks cung cấp một cách dễ dàng để gửi các tin nhắn tự động và cập nhật dữ liệu từ máy của nạn nhân vào một kênh nhắn tin cụ thể. Tin tặc sau đó có thể sử dụng các thông tin đã thu thập được để tiếp tục các mục đích của riêng mình, hoặc bán những thông tin này trên các diễn đàn dark web.
Các tin tặc có thể đánh cắp tất cả các loại thông tin, bao gồm dữ liệu được tự động điền, thanh dấu trang, cookie trình duyệt, thông tin đăng nhập mạng riêng ảo (VPN), thông tin thẻ thanh toán, ví tiền điện tử, thông tin hệ điều hành, mật khẩu hay thậm chí cả Product Key của Windows. Một số trình đánh cắp thông tin khác, cụ thể là Mercurial Grabber và 44Caliber cũng nhắm mục tiêu thông tin đăng nhập cho các nền tảng trò chơi phổ biến như Minecraft và Roblox.
Ngoài ra, Intel 471 cho biết họ cũng phát hiện ra một bot Telegram độc hại, được gọi là X-Files. Khi mã độc đã được tải vào hệ thống của nạn nhân, tin tặc có thể dò quét thông tin mật khẩu, phiên cookie, thông tin đăng nhập và chi tiết thẻ tín dụng rồi gửi những thông tin này đến kênh Telegram mà chúng thiết lập. X-Files có thể thu thập thông tin từ một loạt các trình duyệt, bao gồm Google Chrome, Chromium, Opera, Slimjet và Vivaldi.
Bên cạnh đó, các nhà nghiên cứu đã phát hiện ra một trình đánh cắp thông tin Telegram khác, được gọi là Prynt Stealer hoạt động theo cách tương tự như X-Files nhưng không hoạt động với các lệnh bot.
Intel 471 đã quan sát thấy các tin tặc lạm dụng cơ sở hạ tầng đám mây được các ứng dụng nhắn tin sử dụng để hỗ trợ các chiến dịch phát tán mã độc. Nhiều nhóm tin tặc hiện đang sử dụng mạng phân phối nội dung (CDN) của Discord để lưu trữ các mã độc. Hệ thống thu thập Malware Intelligence của Intel 471 quan sát và nhận thấy kỹ thuật này lần đầu tiên vào năm 2019, nhưng hiện nay nhiều tin tặc vẫn sử dụng.
Theo đánh giá của công ty an ninh mạng này, có vẻ như các tin tặc không phải đối mặt với bất kỳ hạn chế nào khi tải các payload độc hại lên Discord CDN để lưu trữ tệp. “Các liên kết được mở cho bất kỳ người dùng nào mà không cần xác thực, cung cấp cho các tin tặc một tên miền web có uy tín cao để lưu trữ mã độc”, các nhà nghiên cứu Intel 471 chia sẻ.
Các kiểu mã độc sử dụng Discord CDN để lưu trữ các payload độc hại này bao gồm: PrivateLoader, Discoloader, Colibri, Warzone RAT, Modi loader, Raccoon stealer, Smokeloader, Amadey, Agent Tesla stealer, GuLoader, Autohotkey, njRAT.
Trước đây, Intel 471 cho biết đã có sự gia tăng trong các dịch vụ của tin tặc cho phép chúng sử dụng chương trình Telegram trong nỗ lực chặn mã thông báo mật khẩu một lần (OTP). Các tin tặc đã tiếp tục triển khai các dịch vụ này, bán quyền truy cập vào website của chúng trên các diễn đàn dark web.
Các nhà nghiên cứu Intel 471 đã quan sát thấy một bot vào tháng 4/2022, được gọi là Astro OTP có thể chặn mã thông báo OTP và mã xác minh dịch vụ tin nhắn (SMS). Các tin tặc có thể điều khiển bot này thông qua giao diện Telegram bằng các lệnh cơ bản.
Một công cụ khởi đầu cho các cuộc tấn công
Mặc dù các trình đánh cắp thông tin không gây ra thiệt hại lớn so với một số mã độc khác như phần mềm xóa dữ liệu hoặc mã độc tống tiền, nhưng chúng có thể là bước đầu tiên để phát động một cuộc tấn công có chủ đích. Các ứng dụng nhắn tin như Discord và Telegram chủ yếu được sử dụng cho các hoạt động kinh doanh, nhưng sự phổ biến của các nền tảng này cùng với sự gia tăng các công việc từ xa tạo ra một bề mặt tấn công lớn hơn cho các tin tặc khai thác.
Việc các trình đánh cắp thông tin này có thể xoay chuyển các tính năng của ứng dụng nhắn tin một cách dễ dàng và sự gia tăng của công việc từ xa kết hợp với nhau, sẽ tạo cơ hội cho các tin tặc phát triển những kỹ năng cần thiết và có thể xoay trục sang các tin tặc khác trong tương lai.
Quốc Trung
(theo Intel 471)
14:00 | 19/07/2022
13:00 | 02/08/2022
11:00 | 31/03/2023
08:00 | 23/06/2022
09:00 | 09/08/2024
Theo thông báo được Thủ tướng Pháp Gabriel Attal đưa ra ngày 31/7, Cơ quan An ninh nước này đã phát hiện và ngăn chặn hàng chục vụ tấn công mạng liên quan đến Olympic Paris 2024.
15:00 | 04/08/2024
Báo cáo của hãng Kaspersky được đưa ra tại chương trình “Tập huấn mô phỏng bảo vệ tương tác của Kaspersky (KIPS)” nhằm hỗ trợ doanh nghiệp chủ động ứng phó với các mối đe dọa phức tạp và không ngừng gia tăng trong bối cảnh kỹ thuật số cho thấy số tài khoản lộ lọt do nhiễm mã độc tại Việt Nam trong những năm gần đây gia tăng đột biến, năm 2023 gấp 31 lần so với năm 2020.
10:00 | 23/07/2024
Ngày 19/7, dịch vụ đám mây Azure, Microsoft 365 và Teams của Microsoft gặp trục trặc khiến hàng nghìn chuyến bay trên toàn cầu bị hoãn, hủy và gây gián đoạn hoạt động tại nhiều sân bay. Nguyên nhân vấn đề được cho là xuất phát từ lỗi trong hệ thống của Công ty an ninh mạng toàn cầu CrowdStrike (Mỹ) - đối tác của Microsoft. Đây được coi là sự cố lớn nhất trong lịch sử với mức độ ảnh hưởng sâu rộng từ giao thông vận tải, ngân hàng đến an ninh, y tế...
17:00 | 19/07/2024
Phần mềm độc hại DarkGate khét tiếng đã hoạt động trở lại, lợi dụng sự kết hợp giữa các tệp Microsoft Excel và các chia sẻ Samba công khai để phân phối phần mềm độc hại. Chiến dịch tinh vi này được tiết lộ trong một báo cáo gần đây của Công ty an ninh mạng Palo Alto Networks (Mỹ) cho biết nhóm tin tặc đã nhắm mục tiêu vào nhiều người dùng ở khu vực Bắc Mỹ, Châu Âu và Châu Á.
Theo báo cáo mới nhất được Viettel công bố ngày 26/8 vừa qua, cho thấy tình hình an ninh mạng đáng báo động với sự xuất hiện của 17.000 lỗ hổng mới chỉ trong 6 tháng đầu năm, đặt ra thách thức lớn cho các doanh nghiệp Việt.
11:00 | 03/09/2024