130649
category
515767

ANM 6/5: Phát hiện loại mã độc đánh cắp Bitcoin có quy mô cực lớn

Trần Anh 06/05/2021 18:00

Ngày 6/5, hãng bảo mật Mỹ-Nhật Trend Micro cho biết họ đã phát hiện mã độc đánh cắp thông tin mang tên Panda Stealer được phát tán qua một chiến dịch thư rác trên toàn thế giới, nhằm đánh cắp tiền ảo (cryptocurrency) và các thông tin khác của nạn nhân.

Mã độc Panda Stealer có khả năng đánh cắp ví tiền ảo từ các nạn nhân.
Mã độc Panda Stealer có khả năng đánh cắp ví tiền ảo từ các nạn nhân.

Mã độc được phát tán bằng các file Excel giả mạo là yêu cầu báo giá. Khi đã lây nhiễm vào hệ thống, Panda Stealer sẽ thu thập các thông tin như khóa riêng tư và các giao dịch trước đây từ các ví tiền ảo Bytecoin (BCN), Dash (DASH), Ethereum (ETH) và Litecoin (LTC). Bên cạnh đó, mã độc còn có thể lấy thông tin đăng nhập từ các ứng dụng như NordVPN, Telegram, Discord và Steam, cũng như chụp ảnh màn hình, lấy dữ liệu từ các trình duyệt, bao gồm cookie và mật khẩu. Các nhà nghiên cứu đã phát hiện 264 tập tin tương tự như Panda Stealer trên VirusTotal, sử dụng hơn 140 máy chủ C&C và hơn 10 trang download. Một số trang download là từ Discord, chứa các tập tin có tên “build.exe”, cho thấy có tin tặc đã sử dụng Discord để chia sẻ các bản dựng Panda Stealer.

Hãng bảo mật Slovakia ESET mới đây cho biết, Trojan ngân hàng Ousaban, chủ yếu nhắm mục tiêu vào Brazil, đã phát triển từ việc sử dụng nội dung khiêu dâm sang email lừa đảo (phising email) để làm phương thức phát tán. Email lừa đảo, có chủ đề như gửi hàng không thành công, được đính kèm các tập tin có chứa gói cài đặt MSI Microsoft Windows, nếu được thực thi sẽ trích xuất một downloader JavaScript có chức năng tìm nạp một tập tin nén .ZIP có chứa một ứng dụng hợp pháp – có nhiệm vụ cài đặt Trojan qua kỹ thuật side-load DLL.

Một số hình ảnh mồi của Trojan Ousaban theo báo cáo của ESET.
Một số hình ảnh mồi của Trojan ngân hàng Ousaban theo báo cáo của ESET.

Ousaban là một trong những Trojan ngân hàng phổ biến nhất tại Brazil, được sử dụng từ năm 2018, có khả năng cài đặt cửa hậu (backdoor), ghi thao tác bàn phím (keylog), chụp ảnh màn hình, mô phỏng chuột và bàn phím cũng như đánh cắp dữ liệu người dùng. Các nhà nghiên cứu tại Kaspersky (Nga) cho biết mã độc này đã được mở rộng phạm vi nhắm mục tiêu để tấn công vào Châu Âu từ năm 2020, tuy nhiên, ESET vẫn chưa tìm thấy bằng chứng cho điều này.

Các nhà nghiên cứu tại hãng an ninh mạng Mỹ Qualys cho biết đã phát hiện 21 lỗ hổng trong Exim, một mail transfer agent (đặc vụ truyền tải thư tín, còn gọi là mail transfer) phổ biến, được gọi chung là 21Nails, ảnh hưởng đến tất cả các phiên bản trước Exim-4.94.1. 10 trong số các lỗ hổng này có thể được thực thi để có được đặc quyền root trong khi 11 lỗ hổng có thể được sử dụng để khai thác cục bộ hệ thống của nạn nhân. Tin tặc cũng có thể liên kết một số lỗ hổng với nhau trong một cuộc tấn công để chạy toàn bộ quá trình thực thi mã chưa được xác thực từ xa để nhắm vào các máy chủ mail dễ bị tấn công. Exim đã phát hành bản vá cho các lỗ hổng này và kêu gọi người dùng nhanh chóng áp dụng.

Trong một diễn biến liên quan đến mạng xã hội Facebook, mới đây, ứng dụng nhắn tin Signal cho biết Facebook đã cấm họ chạy quảng cáo trên Instagram, vì các quảng cáo này sẽ tiết lộ lượng thông tin cá nhân của người dùng mà Facebook sở hữu. Cụ thể, Signal đã có ý định sử dụng các công cụ quảng cáo bên thứ ba của Instagram để tiết lộ một số mục tiêu cụ thể mà các nhà quảng cáo có thể mua lại. Ứng dụng nhắn tin này đã sử dụng một loạt các quảng cáo mang tính cá nhân sâu sắc với các thông điệp thẳng thừng được thiết kế để tiết lộ các danh mục mà Facebook sử dụng để phân loại người dùng và tuyên bố đã tạo ra các quảng cáo “nhiều biến thể” bằng cách sử dụng các công cụ quảng cáo của mạng xã hội này.

Đáp lại, Facebook khẳng định đây là chiêu trò thu hút sự chú ý của Signal, ứng dụng nhắn tin này chưa từng chạy những quảng cáo này và việc tài khoản quảng cáo của họ bị khóa là do vấn đề thanh toán.

“Khẩu chiến” giữa Signal và Facebook vẫn tiếp diễn.
“Khẩu chiến” giữa Signal và Facebook vẫn tiếp diễn.

Ngày 5/5, nhóm tin tặc Anonymous Colombia tuyên bố đã tham gia vào việc tấn công trang web của các lực lượng vũ trang Colombia và tiết lộ một danh sách gồm 168 tài khoản email và mật khẩu của các thành viên Quân đội Quốc gia trên tài khoản Twitter của nhóm. Bên cạnh đó, trang web của Tổng thống Colombia và Thượng viện nước này cũng bị tấn công nhưng đã hoạt động trở lại. Anonymous giải thích rằng những hành động này là để phản đối hành động bạo lực của chính quyền đối với người biểu tình phản đối cải cách thuế tại Colombia.

Vụ tấn công mạng Quân đội Colombia là một trong những họat động đáng chú ý của nhóm Anonymous thời gian qua.
Vụ tấn công mạng Quân đội Colombia là một trong những họat động đáng chú ý của nhóm Anonymous thời gian qua.

Trong một diễn biến khác về chính sách an ninh mạng của các nước, trong cuộc họp với Đại sứ Estonia tại Ukraine, ông Oleksiy Danilov – Thư ký Hội đồng Quốc phòng và An ninh Quốc gia Ukraine (NSDC) cho biết nước này muốn tăng cường hợp tác trong lĩnh vực an ninh mạng với các nước Baltic. Ông khẳng định, Ukraine đang ở tiền tuyến của một cuộc chiến chống lại sự xâm lược lai và nhiệm vụ của nước này là tăng cường hợp tác với các cấu trúc của NATO và các quốc gia thành viên trong lĩnh vực phòng thủ mạng vì Nga gần đây đã tăng cường đáng kể hoạt động chiến tranh thông tin. Ông cũng bày tỏ sự quan tâm đến việc tối đa hóa hợp tác thiết thực với Trung tâm Không gian mạng của NATO có trụ sở tại Estonia.

Trần Anh

Đọc nhiều