Phemedrone là phần mềm độc hại đánh cắp thông tin nguồn mở mới, với khả năng thu thập dữ liệu được lưu trong trình duyệt web, ví tiền điện tử và các ứng dụng như Discord, Steam và Telegram. Dữ liệu này sau đó được gửi cho kẻ tấn công để sử dụng trong các hoạt động độc hại hoặc để bán cho các tác nhân đe dọa khác.
Lỗ hổng của Microsoft Defender bị khai thác trong chiến dịch Phemedrone có mã định danh CVE-2023-36025. Lỗ hổng này đã được vá trong bản cập nhật vào tháng 11/2023 và được đánh dấu là đã bị khai thác trong các cuộc tấn công.
Các chuyên gia bảo mật cho biết: “Người dùng sẽ phải nhấp vào một Internet Shortcut (.URL) độc hại hoặc một liên kết (hyperlink) trỏ đến tệp Internet Shortcut để kẻ tấn công có thể xâm phạm”.
Ban đầu không có nhiều thông tin chi tiết về việc khai thác CVE-2023-36025 được chia sẻ công khai, nhưng các bằng chứng về việc khai thác được công bố ngay sau đó đã làm tăng rủi ro cho các hệ thống Windows chưa được vá.
Các nhà nghiên cứu từ Trend Micro cho biết, Phemedrone không phải là họ mã độc duy nhất nhắm mục tiêu vào lỗ hổng Windows này, các trường hợp khác được phát hiện có liên quan đến ransomware.
Những kẻ tấn công lưu trữ các tệp URL độc hại trên các dịch vụ cloud tin cậy như Discord, FireTransfer.io và thường ngụy trang chúng bằng các dịch vụ rút ngắn như shorturl.at.
Thông thường, khi mở các file URL tải về từ internet hoặc gửi qua email, Windows SmartScreen sẽ hiển thị cảnh báo việc mở file có thể gây hại cho máy tính.
Lời cảnh báo khi mở tệp URL (Nguồn: BleepingComputer)
Tuy nhiên, khi nạn nhân mở một trong các tệp URL độc hại, chúng sẽ khai thác lỗ hổng CVE-2023-36095 trong Windows SmartScreen để lời nhắc này không hiển thị.
Tệp URL tải xuống tệp điều khiển (.cpl) từ máy chủ của kẻ tấn công và thực thi, khởi chạy một payload DLL độc hại thông qua rundll32.exe.
Tệp URL độc hại được sử dụng trong chiến dịch Phemedrone (Nguồn: BleepingComputer)
DLL này là một PowerShell loader, được dùng để tải về tệp ZIP từ kho lưu trữ GitHub chứa loader giai đoạn hai được giả mạo dưới dạng tệp PDF (Secure.pdf), tệp nhị phân Windows hợp pháp (WerFaultSecure.exe), wer.dll được sử dụng cho DLL side-loading và để thiết lập quyền truy cập lâu dài.
Sơ đồ chuỗi lây nhiễm (Nguồn: Trend Micro)
Sau khi khởi chạy trên hệ thống bị xâm nhập, Phemedrone sẽ đánh cắp dữ liệu từ các ứng dụng được nhắm mục tiêu và sử dụng Telegram để chuyển dữ liệu. Các ứng dụng/dữ liệu bị nhắm mục tiêu bao gồm:
- Trình duyệt Chrome: Thu thập mật khẩu, cookie, dữ liệu tự động điền từ các trình duyệt và ứng dụng bảo mật như LastPass, KeePass, Microsoft Authenticator và Google Authenticator.
- Trình duyệt Gecko: Trích xuất dữ liệu người dùng từ các trình duyệt dựa trên Gecko như Firefox.
- Ví tiền điện tử: Trích xuất dữ liệu từ nhiều ứng dụng ví tiền điện tử khác nhau, bao gồm Atom, Armory, Electrum và Exodus.
- Discord: Giành quyền truy cập trái phép bằng cách trích xuất mã token xác thực.
- FileGrabber: Thu thập tệp người dùng từ các thư mục như Documents và Desktop.
- FileZilla: Ghi lại thông tin chi tiết và thông tin đăng nhập FTP.
- Thông tin hệ thống: Thu thập thông số phần cứng, vị trí địa lý, chi tiết hệ điều hành và ảnh chụp màn hình.
- Steam: Truy cập các tập tin liên quan đến nền tảng.
- Telegram: Trích xuất dữ liệu người dùng, tập trung vào các tệp xác thực trong thư mục "tdata".
Báo cáo dữ liệu bị đánh cắp (Nguồn: Trend Micro)
Trend Micro cũng đã công bố danh sách đầy đủ các chỉ số về sự xâm phạm (IoC) cho chiến dịch Phemedrone. Quý độc giả quan tâm vui lòng truy cập tại đây.
Bá Phúc
(bleepingcomputer.com)
10:00 | 21/02/2024
14:00 | 16/01/2024
09:00 | 01/02/2024
09:00 | 01/02/2024
15:00 | 31/01/2024
08:00 | 06/11/2023
15:00 | 20/09/2023
19:00 | 30/04/2024
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
10:00 | 28/03/2024
Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.
11:00 | 29/02/2024
Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.
08:00 | 19/01/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Malwarebytes (Mỹ) đã xác định được phiên bản cập nhật của phần mềm đánh cắp thông tin trên macOS có tên là Atomic Stealer (hoặc AMOS), cho thấy các tác nhân đe dọa phát triển phần mềm độc hại này đang tích cực nâng cao khả năng của nó. Trong bài viết này sẽ xem xét những thay đổi mới nhất của Atomic Stealer và việc phân phối gần đây các quảng cáo độc hại thông qua công cụ tìm kiếm Google.
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
19:00 | 30/04/2024