Nhà nghiên cứu Tara Gould của Cado Security (London) cho biết: "Những kẻ tấn công đứng sau phần mềm độc hại đã thiết lập các công ty giả mạo sử dụng AI để tăng tính hợp pháp của chúng. Công ty này liên hệ với các mục tiêu để thiết lập cuộc gọi video, nhắc nhở người dùng tải xuống ứng dụng họp từ trang web, đó là Realst infostealer".
Hoạt động này được đặt tên mã là Meeten vì sử dụng các tên như Clusee, Cuesee, Meeten, Meetone và Meetio cho các trang web giả mạo.
Các cuộc tấn công được thực hiện bằng cách tiếp cận các mục tiêu trên Telegram để thảo luận về một cơ hội đầu tư tiềm năng, thúc giục họ tham gia cuộc gọi video được lưu trữ trên một trong những nền tảng đáng ngờ. Người dùng truy cập vào trang web được nhắc tải xuống phiên bản Windows hoặc macOS tùy thuộc vào hệ điều hành được sử dụng.
Sau khi cài đặt và khởi chạy trên macOS, người dùng sẽ thấy thông báo "Phiên bản hiện tại của ứng dụng không hoàn toàn tương thích với phiên bản macOS của bạn" và họ cần nhập mật khẩu hệ thống để ứng dụng hoạt động như mong đợi.
Điều này được thực hiện bằng kỹ thuật osascript đã được một số họ macOS stealer áp dụng như Atomic macOS Stealer, Cuckoo, MacStealer, Banshee Stealer và Cthulhu Stealer. Mục tiêu cuối cùng của cuộc tấn công là đánh cắp dữ liệu nhạy cảm, bao gồm cả ví tiền điện tử.
Phần mềm độc hại này cũng được trang bị để đánh cắp thông tin đăng nhập Telegram, thông tin ngân hàng, dữ liệu iCloud Keychain và cookie trình duyệt từ Google Chrome, Microsoft Edge, Opera, Brave, Arc, Cốc Cốc và Vivaldi.
Đây không phải là lần đầu tiên các thương hiệu phần mềm họp giả mạo được sử dụng để phát tán phần mềm độc hại. Đầu tháng 3/2024, Jamf Threat Labs tiết lộ rằng họ đã phát hiện ra một trang web giả mạo có tên là meethub[.]gg để phát tán phần mềm độc hại có chung điểm trùng lặp với Realst.
Sau đó vào tháng 6, Recorded Future đã công bố chi tiết một chiến dịch có tên Markopolo nhắm vào người dùng tiền điện tử bằng phần mềm họp ảo giả mạo để rút tiền trong ví của họ bằng cách sử dụng Rhadamanthys, Stealc và Atomic.
Sự phát triển này diễn ra khi những kẻ đe dọa đứng sau phần mềm độc hại Banshee Stealer macOS đã đóng cửa hoạt động sau khi mã nguồn của chúng bị rò rỉ không rõ lý do. Phần mềm độc hại này được quảng cáo trên các diễn đàn tội phạm mạng với mức phí đăng ký hàng tháng là 3.000 USD.
Sự xuất hiện của các phần mềm độc hại mới như Fickle Stealer, Wish Stealer, Hexon Stealer và Celestial Stealer cũng diễn ra sau khi người dùng và doanh nghiệp tìm kiếm phần mềm và công cụ AI vi phạm bản quyền lần lượt trở thành mục tiêu của RedLine Stealer và Poseidon Stealer.
Về chiến dịch RedLine Stealer, Kaspersky nhấn mạnh: "Những kẻ tấn công đứng sau chiến dịch này rõ ràng muốn tiếp cận các tổ chức của những doanh nhân nói tiếng Nga sử dụng phần mềm để tự động hóa các quy trình kinh doanh".
Quốc An
12:00 | 14/01/2025
10:00 | 28/11/2024
14:00 | 06/12/2024
15:00 | 26/12/2024
14:00 | 06/12/2024
09:00 | 08/01/2025
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
09:00 | 13/12/2024
Các nhà nghiên cứu an ninh mạng đang cảnh báo về các chiến dịch tấn công email độc hại lợi dụng bộ công cụ lừa đảo dưới dạng dịch vụ (PhaaS) có tên là Rockstar 2FA, nhằm mục đích đánh cắp thông tin đăng nhập tài khoản Microsoft 365.
14:00 | 06/12/2024
Các nhà nghiên cứu của Công ty an ninh mạng Trend Micro (Nhật Bản) cho biết, nhóm tin tặc do nhà nước Trung Quốc hậu thuẫn là Salt Typhoon đã sử dụng backdoor GhostSpider mới trong các cuộc tấn công vào các nhà cung cấp dịch vụ viễn thông.
10:00 | 28/11/2024
Nhà cung cấp phần mềm an ninh mạng Gen Digital (Cộng hòa Séc) cho biết rằng, một phần mềm độc hại đánh cắp thông tin mới có thể vượt qua cơ chế mã hóa App-Bound trong các trình duyệt dựa trên Chromium.
Lừa đảo mạo danh tiếp tục là điểm nóng trên không gian mạng. Cục An toàn thông tin (Bộ TT&TT) vừa khuyến cáo các đơn vị, cá nhân trong nước cảnh giác trước chiêu giả mạo Trung tâm An ninh mạng quốc gia, Cục Hải quan, Shopee.
09:00 | 10/02/2025