Phần mềm độc hại đa nền tảng nhắm vào ví tiền điện tử

08:00 | 12/01/2021 | HACKER / MALWARE

Các nhà nghiên cứu an ninh mạng vừa tiết lộ một chiến dịch lừa đảo trên diện rộng nhắm vào người dùng tiền ảo được bắt đầu từ tháng 01/2020. Chiến dịch này phát tán các ứng dụng độc hại để từ đó cài đặt công cụ truy cập từ xa trên các hệ thống mục tiêu.

Phần mềm độc hại đa nền tảng nhắm vào ví tiền điện tử

Phần mềm độc hại có tên ElectroRAT được viết bằng ngôn ngữ lập trình Golang và được thiết kế để chạy trên nhiều nền tảng hệ điều hành như Windows, Linux và macOS. Nó được phát triển dựa trên nền tảng mã nguồn mở Electron.

Các nhà nghiên cứu cho biết: “ElectroRAT là ví dụ mới nhất về việc những tin tặc sử dụng Golang để phát triển phần mềm độc hại đa nền tảng và tránh bị các phần mềm diệt virus phát hiện.

Thông thường tin tặc sẽ cố gắng thu thập các private key để truy cập vào ví của nạn nhân trên một hệ điều hành cụ thể. Hiếm khi nào lại có các công cụ ngay từ đầu được viết để nhắm vào nhiều hệ điều hành.

Chiến dịch được phát hiện lần đầu tiên vào tháng 12/2020, đã đánh cắp thông tin của hơn 6.500 nạn nhân dựa trên số lượng khách truy cập vào các trang Pastebin dùng để xác định các máy chủ C&C.

Qua đó, tin tặc tạo ra ba ứng dụng giả mạo khác nhau tương ứng với các hệ điều hành Windows, Linux, Mac. Hai ứng dụng "Jamm" và "eTrade" có chức năng quản lý tiền ảo. Ứng dụng còn lại "DaoPoker" giả mạo nền tảng tiền ảo Poker.

Các ứng dụng độc hại không chỉ được lưu trữ trên các trang web được xây dựng đặc biệt cho chiến dịch này, mà còn được quảng cáo trên Twitter, Telegram và các diễn đàn liên quan đến tiền điện tử và blockchain hợp pháp như "bitcointalk", "SteemCoinPan" nhằm thu hút người dùng tải xuống các ứng dụng độc hại.

Sau khi được cài đặt, ứng dụng giả mạo sẽ mở ra một giao diện tưởng như vô hại, nhưng trên thực tế ElectroRAT chạy ngầm dưới dạng "mdworker", cho phép ghi lại các tổ hợp phím, chụp ảnh màn hình, tải lên tệp từ đĩa, tải xuống tệp tùy ý và thực hiện các lệnh độc hại từ máy chủ C&C trên máy của nạn nhân.

Đáng chú ý bài phân tích trên các trang Pastebin được đăng tải bởi người dùng có tên "Execmac" vào ngày 08/01/2020. Tài khoản này đã đăng các thông tin trước chiến dịch nhắm vào máy chủ C&C sử dụng mã độc trên Windows như Amadey và KPOT. Có thể thấy, những kẻ tấn công đã chuyển hướng từ sử dụng các trojan phổ biến sang một phần mềm độc hại đa nền tảng.

Các nhà nghiên cứu khuyến cáo người dùng bị ảnh hưởng bởi chiến dịch này nên loại bỏ các tiến trình độc hại trên máy tính, xóa tất cả các tệp liên quan, chuyển tiền sang ví mới và tiến hành đổi mật khẩu.

M.H

‹ › ×

Tin liên quan

Các tài khoản X của Netgear, Hyundai bị tin tặc tấn công

14:00 | 16/01/2024

Các tài khoản X (Twitter) chính thức của Netgear và Hyundai MEA (có hơn 160.000 người theo dõi) là những tài khoản nổi tiếng mới nhất bị tin tặc tấn công để phát tán lừa đảo, nhằm lây nhiễm phần mềm độc hại, chiếm đoạt tiền điện tử của các nạn nhân.

Phần mềm độc hại sunspot được sử dụng để đưa vào cửa hậu SolarWinds

14:00 | 21/01/2021

Khi cuộc điều tra về cuộc tấn công chuỗi cung ứng SolarWinds vẫn đang được tiếp tục, các nhà nghiên cứu an ninh mạng đã tiết lộ một phần mềm độc hại thứ ba được sử dụng để đưa cửa hậu vào nền tảng giám sát mạng Orion.

Người dùng Coinbase phải đối mặt với tấn công lừa đảo ngày càng tăng

16:00 | 31/07/2021

Tiền điện tử ngày càng có giá trị đã khiến tội phạm mạng càng tập trung vào các sàn giao dịch tiền điện tử, trong đó có Coinbase.

Cảnh báo về thủ đoạn trộm ví điện tử, tài khoản ngân hàng

14:00 | 07/05/2016

Phòng Cảnh sát phòng chống tội phạm về công nghệ cao, Công an TP. Hà Nội vừa có khuyến cáo người sử dụng cảnh giác với các thủ đoạn trộm ví điện tử.

Những lỗ hổng phổ biến nhất trong các dự án Blockchain và DeFi

16:00 | 21/06/2022

Trong thời gian qua, các dự án Blockchain và DeFi đang trên đà phát triển mạnh mẽ và trở thành một trong những đối tượng được tin tặc nhắm mục tiêu nhiều nhất.

Tấn công lừa đảo qua email về tiền điện tử: Đánh cắp từ ví nóng và ví lạnh

09:00 | 10/01/2024

Song song với mức độ phổ biến toàn cầu của tiền điện tử và có nhiều cách thức lưu trữ mới thì các kho công cụ tấn công được sử dụng bởi những tác nhân đe dọa tiền kỹ thuật số cũng ngày càng được mở rộng. Bài viết này dựa trên báo cáo của Kaspersky đề cập đến các phương pháp tấn công email khác nhau được tội phạm mạng sử dụng trong các chiến dịch lừa đảo nhắm vào hai cách lưu trữ tiền điện tử phổ biến nhất: ví nóng và ví lạnh.

Phần mềm độc hại nguy hiểm Emotet đã bị phá vỡ

11:00 | 08/02/2021

Các cơ quan thực thi pháp luật từ 8 quốc gia đã phá vỡ cơ sở hạ tầng của Emote - một phần mềm độc hại trên Windows phát tán qua email. Phần mềm này đứng sau một số chiến dịch thư rác do botnet điều khiển và các cuộc tấn công ransomware trong thập kỷ qua.

Cảnh báo phần mềm gián điệp chiếm đoạt hàng trăm tỷ đồng

16:00 | 08/12/2020

Qua công tác bảo vệ an ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, lực lượng Công an phát hiện một phần mềm gián điệp, được các đối tượng sử dụng nhằm lừa đảo, trộm cắp, chiếm đoạt tài sản của người dùng điện thoại hệ điều hành Android.

FireEye bị xâm nhập bằng backdoor từ phần mềm SolarWinds

16:00 | 17/12/2020

Công cụ giám sát hạ tầng công nghệ thông tin của nhà cung cấp SolarWinds đã bị xâm nhập và được sử dụng để tấn công vào các cơ quan chính phủ lớn của Hoa Kỳ như công ty bảo mật FireEye.

Tin cùng chuyên mục

Tấn công mạng: Hiểm họa lớn đối với các tổ chức, doanh nghiệp

08:00 | 17/04/2024

Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.

Khám phá Trojan ngân hàng Coyote

07:00 | 11/03/2024

Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.

Giải mã mạng botnet NoaBot nhắm mục tiêu khai thác tiền điện tử

15:00 | 26/01/2024

Các nhà nghiên cứu bảo mật của công ty an ninh mạng Akamai (Mỹ) phát hiện ra một mạng botnet mới dựa trên Mirai có tên là NoaBot, hiện đang được các tác nhân đe dọa sử dụng như một phần của chiến dịch khai thác tiền điện tử đã hoạt động kể từ đầu năm 2023. Bài viết này sẽ phân tích về đặc điểm của NoaBot và công cụ khai thác tiền điện tử được sử dụng trong chiến dịch tấn công mạng botnet này.

Chiến dịch gián điệp mạng Sea Turtle nhắm mục tiêu vào các công ty của Hà Lan

13:00 | 17/01/2024

Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet, các nhà cung cấp dịch vụ công nghệ thông tin (CNTT) và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới được thực hiện bởi một nhóm tin tặc Türkiye-nexus có tên là (Rùa biển).