Nhóm tin tặc Việt Nam bị nghi đánh cắp dữ liệu tài chính ở châu Á

10:00 | 24/04/2024 | HACKER / MALWARE

Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.

Nhóm tin tặc Việt Nam bị nghi đánh cắp dữ liệu tài chính ở châu Á

Các chuyên gia bảo mật Cisco Talos, thuộc tập đoàn Cisco (Mỹ) cho biết, một phần mềm độc hại đã được thiết kế để thu thập dữ liệu tài chính ở Ấn Độ, Trung Quốc, Hàn Quốc, Bangladesh, Pakistan, Indonesia và Việt Nam từ tháng 5/2023 đến nay.

Cisco Talos gọi chiến dịch này là CoralRaider và cho biết: Nhóm này tập trung vào thông tin xác thực, dữ liệu tài chính và tài khoản mạng xã hội của nạn nhân, bao gồm cả tài khoản doanh nghiệp và quảng cáo.

Nhóm tin tặc dùng RotBot, một biến thể tùy chỉnh của Quasar RAT và XClient, để thực hiện các vụ tấn công. Nhóm dùng nhiều công cụ khác nhau, kết hợp cả trojan truy cập từ xa và một số phần mềm độc hại khác như AsyncRAT, NetSupport RAT, Rhadamanthys. Ngoài ra, tin tặc còn sử dụng nhiều phần mềm chuyên đánh cắp dữ liệu như Ducktail, NodeStealer và VietCredCare. Thông tin bị đánh cắp được thu thập qua Telegram sau đó giao dịch trên thị trường ngầm để kiếm lợi bất hợp pháp.

Cuộc tấn công thường bắt đầu từ việc chiếm quyền quản lý tài khoản Facebook, sau đó đổi tên, sửa giao diện mạo danh các chatbot AI nổi tiếng của Google, OpenAI và Midjourney. Tin tặc thậm chí chạy quảng cáo để tiếp cận nạn nhân, lừa người dùng đến những trang web giả mạo. Một tài khoản giả mạo Midjourney từng có 1,2 triệu người theo dõi trước khi bị gỡ xuống vào giữa năm 2023.

Các chuyên gia đã mô phỏng lại một cuộc tấn công, bắt đầu từ tệp chứa mã độc được mở. Tin tặc sẽ cài tệp ứng dụng HTML (HTA) và chiếm quyền điều khiển máy chủ của nạn nhân. Từ đó tập lệnh Visual Basic được nhúng vào máy tính. Sau đó, tập lệnh tiếp tục giải mã và thực thi tuần tự ba tập lệnh PowerShell để phá vỡ các lớp bảo vệ trên máy nạn nhân. Các thông báo ứng dụng và Windows bị vô hiệu hóa. Dữ liệu bị đánh cắp và chạy RotBot.

RotBot được cấu hình để liên hệ với bot Telegram và chạy phần mềm độc hại XClient trong bộ nhớ. Cuối cùng, thông tin cookie bị đánh cắp. Các thông tin bảo mật, xác thực trên trình duyệt web như Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox và Opera bị thu thập. XClient cũng được thiết kế để lấy dữ liệu từ tài khoản Facebook, Instagram, TikTok và YouTube của nạn nhân. Mã độc còn thu thập thông tin chi tiết về các phương thức thanh toán và quyền liên quan đến tài khoản quảng cáo, kinh doanh trên Facebook của họ.

Công ty an ninh mạng Romania cho biết: Các chiến dịch quảng cáo độc hại có phạm vi tiếp cận rất lớn thông qua hệ thống quảng cáo của Meta. Từ đó tin tặc tích cực tiếp cận nạn nhân ở châu Âu và các nơi khác, bên cạnh các quốc gia châu Á.

M.H

‹ › ×

Tin liên quan

Trojan GoldPickaxe mới đánh cắp dữ liệu nhận dạng khuôn mặt để lừa đảo

16:00 | 15/03/2024

Các nhà nghiên cứu nhóm tình báo mối đe dọa tới từ Công ty an ninh mạng quốc tế Group-IB (trụ sở chính tại Singapore) lên tiếng cảnh báo về một loại trojan mới có tên là GoldPickaxe, được thiết kế để đánh lừa nạn nhân quét khuôn mặt và dữ liệu ID, từ đó tạo ra các bản deepfake nhằm truy cập trái phép tài khoản ngân hàng của nạn nhân.

Phần mềm độc hại ShadowVault mới đánh cắp dữ liệu nhạy cảm trên thiết bị MacOS

14:00 | 24/07/2023

Công ty an ninh mạng Guardz (Israel) đã xác nhận sự tồn tại của một chương trình đánh cắp thông tin mới trên dark web, được gọi là phần mềm độc hại ShadowVault, có khả năng đánh cắp dữ liệu nhạy cảm từ các thiết bị chạy macOS, gây ra mối đe dọa đáng kể cho các doanh nghiệp cũng như cá nhân.

Chiến dịch gián điệp mạng sử dụng mã độc RDStealer đánh cắp dữ liệu chia sẻ trên Remote Desktop

10:00 | 10/07/2023

Vừa qua, theo báo cáo từ công ty an ninh mạng Bitderfender (Romani) cho biết, một chiến dịch tấn công gián điệp mạng có chủ đích sử dụng mã độc mới được viết bằng ngôn ngữ lập trình Golang có tên là “RDStealer” đã được các tin tặc thực hiện nhằm đánh cắp dữ liệu từ các ổ đĩa được chia sẻ thông qua ứng dụng kết nối từ xa Remote Desktop Protocol (RDP).

Tin cùng chuyên mục

Phần mềm độc hại mới GTPDOOR đánh cắp thông tin thuê bao và dữ liệu cuộc gọi

08:00 | 21/03/2024

Phần mềm độc hại mới trên Linux có tên là GTPDOOR được thiết kế để nhắm mục tiêu vào các mạng viễn thông dựa trên khai thác giao thức đường hầm trên GPRS (GPRS Tunneling Protocol-GTP) để thực thi câu lệnh và điều khiển (C2).

Phần mềm độc hại DirtyMoe lây nhiễm hơn 2.000 máy tính tại Ukraine

13:00 | 07/02/2024

Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.

Phân tích chiến dịch gián điệp mạng Sea Turtle của tin tặc Thổ Nhĩ Kỳ

13:00 | 23/01/2024

Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet (ISP), nhà cung cấp dịch vụ công nghệ thông tin và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới do nhóm tin tặc có tên gọi là Sea Turtle thực hiện. Nhóm này hoạt động với động cơ chính trị nhằm thu thập thông tin tình báo phù hợp với những lợi ích của Thổ Nhĩ Kỳ. Bài viết này sẽ cùng phân tích về các hoạt động của nhóm tin tặc này và các kỹ thuật trong chiến dịch mới nhất, dựa trên báo cáo điều tra của công ty an ninh mạng Hunt&Hackett (Hà Lan).

Tin tặc Triều Tiên phát triển backdoor mới trên macOS

07:00 | 16/01/2024

Các nhà nghiên cứu an ninh mạng đã phát hiện một backdoor macOS mới có tên là SpectralBlur. Đặc biệt backdoor này có những điểm tương đồng với dòng phần mềm độc hại KandyKorn của các tin tặc Triều Tiên trong các chiến dịch tấn công mạng được xác định gần đây.