Hình 1. Tin nhắn Messenger đính kèm tệp độc hại
Trong các cuộc tấn công, tin tặc sẽ gửi tin nhắn và dụ dỗ nạn nhân mở những file nén zip hoặc rar qua Facebook Messenger. Sau khi được thực thi, mã độc sẽ tải các tệp từ GitHub hoặc GitLab, các tệp này chứa phần mềm đánh cắp được viết bằng Python để lọc tất cả cookie và thông tin đăng nhập của nạn nhân từ các trình duyệt web khác nhau đến điểm cuối API Telegram hoặc Discord do tin tặc kiểm soát.
Một chiến thuật thông minh được tin tặc áp dụng bao gồm việc xóa tất cả cookie sau khi đánh cắp chúng, đăng xuất nạn nhân khỏi tài khoản của họ và tiếp đó những kẻ tấn công chiếm quyền điều khiển phiên của họ bằng cách sử dụng cookie bị đánh cắp thay thế đổi mật khẩu sau đó dành quyền kiểm soát tài khoản.
Hình 2. Phương thức hoạt động của phần mềm đánh cắp
Mã nguồn của phần mềm đánh cắp này có sự hiện diện của tiếng Việt và trình duyệt Cốc Cốc - là một trình duyệt dựa trên Chrome phổ biến ở Việt Nam. Mặc dù thực tế là việc kích hoạt lây nhiễm đòi hỏi sự tương tác của người dùng để tải xuống tệp, giải nén và thực thi tệp đính kèm, Guardio Labs nhận thấy rằng chiến dịch đã chứng kiến tỷ lệ thành công cao khi ước tính cứ 250 nạn nhân thì có 1 người đã bị nhiễm trong 30 năm qua.
Zaytsev cho biết: “Những tài khoản Facebook có danh tiếng, xếp hạng người bán và số lượng người theo dõi cao có thể dễ dàng kiếm tiền trên thị trường chợ đen. Những tài khoản đó được sử dụng để tiếp cận nhiều đối tượng nhằm truyền bá quảng cáo cũng như phát tán các chiêu trò lừa đảo". Tiết lộ này được đưa ra vài ngày sau khi WithSecure và Zscaler ThreatLabz trình bày chi tiết các chiến dịch Ducktail và Duckport mới nhắm mục tiêu vào các tài khoản Meta Business và Facebook.
Lê Thị Bích Hằng
(Theo The Hacker News)
12:00 | 28/04/2023
15:00 | 31/08/2023
14:00 | 22/06/2023
10:00 | 07/07/2023
Ngày 04/7, một vụ tấn công bằng ransomware đã xảy ra tại cảng Nagoya thuộc tỉnh Aichi, Nhật Bản. Vụ tấn công đã khiến cho hoạt động của cảng này bị đình trệ hoàn toàn trong hai ngày, hàng trăm xe container xếp hàng dài để chờ khắc phục sự cố
20:00 | 13/05/2023
Các chuyên gia của hãng bảo mật di động MalwareFox (Mỹ) đã phát hiện 27 ứng dụng có chứa mã độc gián điệp đang được phát tán trên kho ứng dụng Play Store của Google.
12:00 | 28/04/2023
Một công cụ đánh cắp thông tin xác thực được phát triển trên nền tảng Python có tên là “Legion” đang được phân phối qua Telegram như một cách thức để các tin tặc xâm nhập vào các dịch vụ trực tuyến khác nhau để tấn công mạng mục tiêu.
16:00 | 11/04/2023
Cục An toàn thông tin đề nghị các cơ quan, tổ chức, doanh nghiệp rà soát để phát hiện các hệ thống bị ảnh hưởng bởi 6 lỗ hổng bảo mật trong sản phẩm của Microsoft, cập nhật bản vá, tránh nguy cơ bị tấn công.
14:00 | 14/08/2023 | Giải pháp khác
12:00 | 14/08/2023 | Công nghệ thông tin
17:00 | 11/08/2023|GP ATM
10:00 | 10/08/2023|Chính sách - Chiến lược
11:00 | 29/07/2023|Mật mã dân sự
16:00 | 09/11/2022|Tin tức sản phẩm
VMware Aria Operations for Networks là một công cụ giám sát, khám phá và phân tích mạng cũng như ứng dụng để xây dựng cơ sở hạ tầng mạng an toàn trên nền tảng điện toán đám mây cho các doanh nghiệp. Mới đây, mã khai thác PoC cho một lỗ hổng nghiêm trọng ảnh hưởng đến VMware Aria Operations for Networks đã được công bố. Hiện hãng đã phát hành các bản sửa lỗi cho lỗ hổng.
15:00 | 20/09/2023
