virut_kod97
VIP Members
-
02/08/2019
-
14
-
35 bài viết
2 Trojan nguy hiểm đang được phát tán mạnh qua web VPN giả mạo
Các nhà nghiên cứu an ninh mạng quốc tế mới đây đã phát hiện ra một trang web giả mạo núp bóng dịch vụ VPN nhưng thực chất được sử dụng để phát tán và cài đặt 2 trojan đánh cắp mật khẩu nguy hiểm là Vidar và CryptBot vào hệ thống của nạn nhân. Các trojan này sau đó sẽ cố gắng lấy cắp mọi thông tin đã lưu trữ trong trình duyệt cũng như dữ liệu quan trọng từ máy tính của nạn nhân và gửi về máy chủ của hacker.
Cụ thể, trang web giả mạo này có tên “Inter VPN” và tự quảng cáo mình là "fastest VPN" nhằm đánh lừa những người nhẹ dạ cả tin. Để thuyết phục những người cảnh giác hơn, website này sẽ tiếp tục hiển thị hình ảnh của máy khách VPN, đây thực sự là hình ảnh của phần mềm VPN Pro hợp pháp, như ảnh chụp màn hình dưới đây.
Trang web giả mạoTuy nhiên trong bộ cài của phần mềm VPN Pro này đã được tin tặc đính kèm trojan, nếu bạn download và kích hoạt bộ cài, trojan sẽ lây lan trên hệ thống. Theo phân tích của các chuyên gia bảo mật, bộ cài này sẽ tiếp tục sử dụng tập lệnh AutoHotKey để tải xuống một số loại trojan, trong đó có Vidar và CryptBot.
Tập lệnh AutoHotKey này được thiết kế để khi khởi chạy, nó có thể gửi thông tin tới một địa chỉ độc hại có tên iplogger.org và sau đó tải xuống các tệp thực thi Vidar và CryptBot tùy thuộc vào chiến dịch tấn công đang được phân phối trên trang web.
Tập lệnh AutoHotKeyKhi trojan được tải xuống thành công, chúng sẽ ngay lập tức khởi chạy và thu thập nhiều loại thông tin khác nhau trong hệ thống nạn nhân và gửi đến máy chủ lưu trữ của kẻ tấn công. Dữ liệu bị trojan đánh cắp có thể bao gồm thông tin xác thực của trình duyệt, cookie, ảnh chụp màn hình, tệp văn bản, ví tiền điện tử và nhiều loại thông tin cá nhân nhạy cảm khác. Nguy hiểm hơn, toàn bộ hoạt động trên sẽ được thực hiện trong nền, do đó nạn nhân gần như hoàn toàn không thể phát hiện ra bất cứ sự khác thường nào.
Lưu lượng mã độc CryptBot
Lưu lượng mã độc Vidar Để tự bảo vệ bản thân trước hình thức tấn công này, trước tiên bạn phải đảm bảo trang web mà mình sắp truy cập sở hữu URL hợp pháp. Sau đó sử dụng các công cụ quét mã độc như VirusTotal để kiểm tra mức độ an toàn của bất cứ phần mềm nào bạn định download từ trang web đó.
Cụ thể, trang web giả mạo này có tên “Inter VPN” và tự quảng cáo mình là "fastest VPN" nhằm đánh lừa những người nhẹ dạ cả tin. Để thuyết phục những người cảnh giác hơn, website này sẽ tiếp tục hiển thị hình ảnh của máy khách VPN, đây thực sự là hình ảnh của phần mềm VPN Pro hợp pháp, như ảnh chụp màn hình dưới đây.
Trang web giả mạo
Tập lệnh AutoHotKey này được thiết kế để khi khởi chạy, nó có thể gửi thông tin tới một địa chỉ độc hại có tên iplogger.org và sau đó tải xuống các tệp thực thi Vidar và CryptBot tùy thuộc vào chiến dịch tấn công đang được phân phối trên trang web.
Tập lệnh AutoHotKey
Lưu lượng mã độc CryptBot
Lưu lượng mã độc Vidar
Theo quantrimang