Sự gia tăng các phần mềm độc hại đánh cắp thông tin ngày càng trở nên phổ biến với các quy mô tấn công khác nhau trong những tháng gần đây. Hai phần mềm độc hại đánh cắp thông tin mới có tên FFDroider và Lightning Stealer có khả năng đánh cắp dữ liệu và khởi động các cuộc tấn công tiếp theo đang trở thành những mối đe dọa hết sức nghiêm trọng.
Bằng cách đánh cắp thông tin đăng nhập và cookie được lưu trữ trong trình duyệt, FFDroider và Lightning Stealer có thể chiếm quyền kiểm soát các tài khoản mạng xã hội của nạn nhân. Những tài khoản mạng xã hội này thậm chí còn thu hút tin tặc hơn nữa nếu như chúng có quyền truy cập vào các nền tảng quảng cáo của các mạng xã hội. Từ đó, tin tặc có thể sử dụng tài khoản của nạn nhân để chạy các quảng cáo độc hại, tạo ra sự lây nhiễm với quy mô lớn. Không giống như những mã độc đánh cắp thông tin khác, Lightning Stealer và FFDroider lưu trữ tất cả dữ liệu bị đánh cắp ở định dạng file JSON. Theo các nhà nghiên cứu của Trung tâm Giám sát an toàn không gian mạng quốc gia (có trụ sở tại Mỹ, Úc, Singapore và Ấn Độ) cho biết: “Những phần mềm đánh cắp thông tin đang sử dụng các kỹ thuật mới để trở nên khó phát hiện hơn”.
Hình 1. Lightning Stealer và FFDroider lưu trữ dữ liệu đánh cắp dưới dạng chuỗi JSON sử dụng phương thức JsonSerializer.Serialize()
Đối với phần mềm Lightning Stealer, các phương thức trong hàm Main() của nó chịu trách nhiệm thực thi nhiệm vụ đánh cắp dữ liệu. Lightning Stealer thực hiện gọi phương thức Input.GetLogGecko(). Phương thức này sẽ trả về mật khẩu, cookie và lịch sử bị đánh cắp từ trình duyệt sau khi được thực thi.
Hình 2. Cấu trúc hàm Main() của Lightning Stealer
Các trình duyệt lưu trữ dữ liệu người dùng trong thư mục “AppData\Browser_name”. Lightning Stealer sẽ kiểm tra thư mục này cùng với các tệp dưới đây:
Trước tiên, Lightning Stealer thực hiện đánh cắp dữ liệu từ tệp “login.json” và tìm kiếm các thư viện liên kết động là mozglue.dll, nss3.dll, được sử dụng để giải mã tệp “login.json” và key4.db.
Hình 3. Lightning Stealer đánh cắp thông tin đăng nhập trên trình duyệt
Tương tự, phần mềm độc hại Lightning Stealer thực hiện đánh cắp lịch sử của trình duyệt trong các tệp “place.sqlite”.
Hình 4. Lightning Stealer đánh cắp lịch sử của trình duyệt
Đối với FFDroider, theo tổ chức bảo mật Zscaler của Anh, FFDroider lây nhiễm qua các phần mềm crack, giả mạo phần mềm miễn phí, game crack và các tệp khác được tải xuống từ các trang torrent. Các trang mạng xã hội được FFDroider nhắm tới bao gồm Facebook, Instagram, Twitter, Amazon, eBay.
Hình 5. Quy trình tấn công của mã độc FFDroider
Các nhà nghiên cứu cũng cho biết thêm: sau khi đánh cắp thông tin và gửi về máy chủ ra lệnh và kiểm soát C2 (Command and Control), các phần mềm độc hại đánh cắp dữ liệu như Lightning Stealer và FFDroider sẽ tải về các mô-đun mới, cho phép mở rộng các tính năng theo thời gian. Hiện vẫn chưa biết các mô-đun mới sẽ có nhiệm vụ gì nhưng theo dự đoán chúng sẽ tạo ra những mối đe dọa lớn hơn.
Trương Đình Dũng
(tổng hợp)
12:00 | 18/05/2022
14:00 | 19/07/2022
10:00 | 08/04/2022
10:00 | 27/05/2022
10:00 | 08/04/2022
10:00 | 03/03/2023
09:00 | 17/03/2022
15:00 | 10/01/2025
Theo Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), gần đây, các chuyên gia bảo mật đã ghi nhận một chiến dịch tấn công nhằm vào các tiện ích mở rộng trên trình duyệt Google Chrome, dẫn tới việc ít nhất 16 tiện ích đã bị ảnh hưởng....
08:00 | 01/11/2024
Báo cáo mới đây của hãng bảo mật Trend Micro (Mỹ) cho biết, nhóm gián điệp mạng OilRig có liên hệ với Iran đã tăng cường các hoạt động tấn công mạng nhằm vào các thực thể chính phủ của các nước khu vực Vùng Vịnh.
10:00 | 18/10/2024
GitLab đã phát hành bản cập nhật bảo mật cho Community Edition (CE) và Enterprise Edition (EE) để giải quyết 08 lỗ hổng bảo mật, bao gồm một lỗ hổng nghiêm trọng có thể cho phép thực thi các CI/CD Pipeline tùy ý.
12:00 | 03/10/2024
Mới đây, các chuyên gia bảo mật tại Kaspersky phát hiện ra 2 phần mềm có chứa mã độc Necro trên cửa hàng ứng dụng Play Store của Google. Đáng chú ý, 2 phần mềm độc hại này đã có tới hơn 11 triệu lượt tải xuống trước khi được các chuyên gia phát hiện.
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
09:00 | 08/01/2025