Tin tặc Nga sử dụng web thương hiệu giả để phát tán mã độc DanaBot và StealC

Tác giả ChatGPT, T.Tám 17, 2024, 03:56:24 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Các nhà nghiên cứu an ninh mạng đã làm sáng tỏ một chiến dịch đánh cắp thông tin tinh vi mạo danh các thương hiệu hợp pháp để phát tán phần mềm độc hại như DanaBot và StealC.

Cụm hoạt động này, được dàn dựng bởi tội phạm mạng nói tiếng Nga và có tên mã chung là Tusk, được cho là bao gồm một số chiến dịch phụ, lợi dụng danh tiếng của các nền tảng để lừa người dùng tải xuống phần mềm độc hại bằng cách sử dụng các trang web và tài khoản mạng xã hội không có thật.


Các nhà nghiên cứu Elsayed Elrefaei và AbdulRhman Alfaifi của Kaspersky cho biết : "Tất cả các chiến dịch phụ đang hoạt động đều lưu trữ trình tải xuống ban đầu trên Dropbox". "Trình tải xuống này chịu trách nhiệm cung cấp thêm các mẫu phần mềm độc hại đến máy của nạn nhân, phần lớn là những kẻ đánh cắp thông tin (DanaBot và StealC) và những kẻ cắt xén."

Trong số 19 chiến dịch phụ được xác định cho đến nay, có ba chiến dịch được cho là đang hoạt động. Tên "Tusk" là tham chiếu đến từ "Mammoth" được những kẻ đe dọa sử dụng trong thông điệp tường trình liên quan đến trình tải xuống ban đầu. Điều đáng chú ý là voi ma mút là một thuật ngữ lóng thường được các nhóm tội phạm điện tử ở Nga sử dụng để chỉ các nạn nhân.

Các chiến dịch này cũng đáng chú ý vì sử dụng các chiến thuật lừa đảo để đánh lừa nạn nhân chia sẻ thông tin cá nhân và tài chính của họ, sau đó được bán trên web đen hoặc được sử dụng để truy cập trái phép vào tài khoản trò chơi và ví tiền điện tử của họ.

Chiến dịch đầu tiên trong số ba chiến dịch phụ, được gọi là TidyMe, bắt chước ngang hàng [.]io với một trang web tương tự được lưu trữ trên dọn dẹpme[.]io (cũng như dọn dẹpmeapp[.]io và dọn dẹpme[.]app) để thu hút nhấp chuột để tải xuống một chương trình độc hại cho cả hệ thống Windows và macOS được cung cấp từ Dropbox.

Trình tải xuống là một ứng dụng Electron, khi khởi chạy sẽ nhắc nạn nhân nhập CAPTCHA được hiển thị, sau đó giao diện ứng dụng chính sẽ hiển thị, trong khi hai tệp độc hại bổ sung được bí mật tìm nạp và thực thi trong nền.

Cả hai tải trọng được quan sát trong chiến dịch đều là các tạo phẩm Hijack Loader, cuối cùng khởi chạy một biến thể của phần mềm độc hại đánh cắp StealC với khả năng thu thập nhiều loại thông tin.


RuneOnlineWorld ("runeonlineworld[.]io"), chiến dịch phụ thứ hai, liên quan đến việc sử dụng một trang web giả mạo mô phỏng một trò chơi trực tuyến nhiều người chơi (MMO) có tên Rise Online World để phân phối một trình tải xuống tương tự mở đường cho DanaBot và StealC trên các máy chủ bị xâm nhập.

Cũng được phân phối thông qua Hijack Loader trong chiến dịch này là phần mềm độc hại clipper dựa trên Go được thiết kế để giám sát nội dung clipboard và thay thế địa chỉ ví được nạn nhân sao chép bằng ví Bitcoin do kẻ tấn công kiểm soát để thực hiện các giao dịch gian lận.

Kết thúc các chiến dịch đang hoạt động là Voico, mạo danh một dự án dịch thuật AI có tên YOUS (yous[.]ai) với một đối tác độc hại có tên là voico[.]io để phổ biến một trình tải xuống ban đầu, sau khi cài đặt, yêu cầu nạn nhân điền vào ra một biểu mẫu đăng ký chứa thông tin đăng nhập của họ và sau đó ghi thông tin vào bảng điều khiển.

Tải trọng cuối cùng thể hiện hành vi tương tự như của chiến dịch phụ thứ hai, điểm khác biệt duy nhất là phần mềm độc hại StealC được sử dụng trong trường hợp này giao tiếp với một máy chủ ra lệnh và kiểm soát (C2) khác.

Các nhà nghiên cứu cho biết: "Các chiến dịch [...] chứng minh mối đe dọa dai dẳng và ngày càng gia tăng do tội phạm mạng rất giỏi trong việc bắt chước các dự án hợp pháp để đánh lừa nạn nhân". "Sự phụ thuộc vào các kỹ thuật lừa đảo xã hội như lừa đảo, cùng với cơ chế phân phối phần mềm độc hại nhiều tầng, làm nổi bật khả năng tiên tiến của các tác nhân đe dọa có liên quan."

"Bằng cách khai thác lòng tin của người dùng trên các nền tảng nổi tiếng, những kẻ tấn công này triển khai một cách hiệu quả một loạt phần mềm độc hại được thiết kế để đánh cắp thông tin nhạy cảm, xâm phạm hệ thống và cuối cùng đạt được lợi ích tài chính."