VietNetwork.Vn

Các tác nhân đe dọa đang tận dụng các trang web Google Meet giả mạo như một phần của chiến dịch phần mềm độc hại đang diễn ra có tên ClickFix để phát tán phần mềm đánh cắp thông tin nhắm vào các hệ thống Windows và macOS.

Công ty an ninh mạng Sekoia của Pháp cho biết trong một báo cáo chia sẻ với The Hacker News: "Chiến thuật này bao gồm việc hiển thị các thông báo lỗi giả trên trình duyệt web để đánh lừa người dùng sao chép và thực thi mã PowerShell độc hại, cuối cùng lây nhiễm vào hệ thống của họ".

Các biến thể của chiến dịch ClickFix (hay còn gọi là ClearFake và OneDrive Pastejacking) đã được báo cáo rộng rãi trong những tháng gần đây, trong đó kẻ tấn công sử dụng nhiều chiêu trò khác nhau để chuyển hướng người dùng đến các trang giả mạo nhằm triển khai phần mềm độc hại bằng cách thúc giục khách truy cập trang web chạy mã PowerShell được mã hóa để giải quyết sự cố hiển thị nội dung trên trình duyệt web.

Các trang này được biết đến là ngụy trang thành các dịch vụ trực tuyến phổ biến, bao gồm Facebook, Google Chrome, PDFSimpli và reCAPTCHA, và hiện nay là Google Meet cũng như có khả năng là Zoom -

• meet.google.us-join[.]com
• meet.googie.com-join[.]us
• meet.google.com-join[.]us
• meet.google.web-join[.]com
• meet.google.webjoining[.]com
• meet.google.cdm-join[.]us
• meet.google.us07host[.]com
• googiedrivers[.]com
• us01web-zoom[.]us
• us002webzoom[.]us
• web05-zoom[.]us
• webroom-zoom[.]us

Trên Windows, chuỗi tấn công lên đến đỉnh điểm khi triển khai các trình đánh cắp StealC và Rhadamanthys, trong khi người dùng Apple macOS được cung cấp tệp hình ảnh đĩa có bẫy ("Launcher_v1.94.dmg") thả một trình đánh cắp khác được gọi là Atomic.

Chiến thuật kỹ thuật xã hội mới nổi này đáng chú ý vì nó khéo léo tránh bị các công cụ bảo mật phát hiện, vì nó liên quan đến việc người dùng tự chạy lệnh PowerShell độc hại trực tiếp trên thiết bị đầu cuối, thay vì được tự động kích hoạt bởi một tải trọng do họ tải xuống và thực thi.


Sekoia đã quy nhóm mạo danh Google Meet cho hai nhóm buôn người, cụ thể là Slavic Nation Empire (hay còn gọi là Slavice Nation Land) và Scamquerteo, đây là các nhóm phụ thuộc markopolo và CryptoLove.

"Cả hai nhóm buôn người [...] đều sử dụng cùng một mẫu ClickFix giả mạo Google Meet", Sekoia cho biết. "Phát hiện này cho thấy các nhóm này chia sẻ tài liệu, còn được gọi là 'dự án đổ bộ', cũng như cơ sở hạ tầng".

Điều này làm dấy lên khả năng cả hai nhóm đe dọa đều sử dụng cùng một dịch vụ tội phạm mạng chưa được biết đến, với bên thứ ba có thể quản lý cơ sở hạ tầng của họ.

Sự phát triển này diễn ra trong bối cảnh các chiến dịch phần mềm độc hại phát tán phần mềm đánh cắp ThunderKitty nguồn mở đang nổi lên, có nhiều điểm tương đồng với Skuld và Kematian Stealer, cũng như các họ phần mềm đánh cắp mới có tên là Divulge, DedSec (hay còn gọi là Doenerium), Duck, Vilsa và Yunit.

"Sự gia tăng của những kẻ đánh cắp thông tin nguồn mở cho thấy sự thay đổi đáng kể trong thế giới các mối đe dọa mạng", công ty an ninh mạng Hudson Rock lưu ý vào tháng 7 năm 2024.

"Bằng cách giảm rào cản gia nhập và thúc đẩy đổi mới nhanh chóng, những công cụ này có thể thúc đẩy làn sóng lây nhiễm máy tính mới, đặt ra thách thức cho các chuyên gia an ninh mạng và làm tăng rủi ro chung cho doanh nghiệp và cá nhân."