Hình 1. Tin nhắn Messenger đính kèm tệp độc hại
Trong các cuộc tấn công, tin tặc sẽ gửi tin nhắn và dụ dỗ nạn nhân mở những file nén zip hoặc rar qua Facebook Messenger. Sau khi được thực thi, mã độc sẽ tải các tệp từ GitHub hoặc GitLab, các tệp này chứa phần mềm đánh cắp được viết bằng Python để lọc tất cả cookie và thông tin đăng nhập của nạn nhân từ các trình duyệt web khác nhau đến điểm cuối API Telegram hoặc Discord do tin tặc kiểm soát.
Một chiến thuật thông minh được tin tặc áp dụng bao gồm việc xóa tất cả cookie sau khi đánh cắp chúng, đăng xuất nạn nhân khỏi tài khoản của họ và tiếp đó những kẻ tấn công chiếm quyền điều khiển phiên của họ bằng cách sử dụng cookie bị đánh cắp thay thế đổi mật khẩu sau đó dành quyền kiểm soát tài khoản.
Hình 2. Phương thức hoạt động của phần mềm đánh cắp
Mã nguồn của phần mềm đánh cắp này có sự hiện diện của tiếng Việt và trình duyệt Cốc Cốc - là một trình duyệt dựa trên Chrome phổ biến ở Việt Nam. Mặc dù thực tế là việc kích hoạt lây nhiễm đòi hỏi sự tương tác của người dùng để tải xuống tệp, giải nén và thực thi tệp đính kèm, Guardio Labs nhận thấy rằng chiến dịch đã chứng kiến tỷ lệ thành công cao khi ước tính cứ 250 nạn nhân thì có 1 người đã bị nhiễm trong 30 năm qua.
Zaytsev cho biết: “Những tài khoản Facebook có danh tiếng, xếp hạng người bán và số lượng người theo dõi cao có thể dễ dàng kiếm tiền trên thị trường chợ đen. Những tài khoản đó được sử dụng để tiếp cận nhiều đối tượng nhằm truyền bá quảng cáo cũng như phát tán các chiêu trò lừa đảo". Tiết lộ này được đưa ra vài ngày sau khi WithSecure và Zscaler ThreatLabz trình bày chi tiết các chiến dịch Ducktail và Duckport mới nhắm mục tiêu vào các tài khoản Meta Business và Facebook.
Lê Thị Bích Hằng
(Theo The Hacker News)
10:00 | 13/12/2023
12:00 | 28/04/2023
14:00 | 11/10/2023
15:00 | 31/08/2023
08:00 | 13/10/2023
10:00 | 05/10/2023
07:00 | 11/12/2023
14:00 | 22/06/2023
08:00 | 25/01/2024
08:00 | 21/03/2024
Phần mềm độc hại mới trên Linux có tên là GTPDOOR được thiết kế để nhắm mục tiêu vào các mạng viễn thông dựa trên khai thác giao thức đường hầm trên GPRS (GPRS Tunneling Protocol-GTP) để thực thi câu lệnh và điều khiển (C2).
11:00 | 07/02/2024
Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.
07:00 | 18/01/2024
Một kỹ thuật khai thác mới có tên là SMTP Smuggling có thể được tin tặc sử dụng để gửi email giả mạo có địa chỉ người gửi giả và vượt qua các biện pháp bảo mật.
09:00 | 10/01/2024
Song song với mức độ phổ biến toàn cầu của tiền điện tử và có nhiều cách thức lưu trữ mới thì các kho công cụ tấn công được sử dụng bởi những tác nhân đe dọa tiền kỹ thuật số cũng ngày càng được mở rộng. Bài viết này dựa trên báo cáo của Kaspersky đề cập đến các phương pháp tấn công email khác nhau được tội phạm mạng sử dụng trong các chiến dịch lừa đảo nhắm vào hai cách lưu trữ tiền điện tử phổ biến nhất: ví nóng và ví lạnh.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024