Cảnh báo: Phần mềm độc hại đa nền tảng nhắm vào ví tiền điện tử

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi DDos, 06/01/21, 03:01 PM.

  1. DDos

    DDos Administrators Thành viên BQT

    Tham gia: 22/10/13, 08:10 PM
    Bài viết: 1,849
    Đã được thích: 446
    Điểm thành tích:
    83
    Các nhà nghiên cứu an ninh mạng vừa tiết lộ một chiến dịch lừa đảo trên diện rộng nhắm vào người dùng tiền ảo. Bắt đầu từ tháng 01 năm 2020, chiến dịch này phát tán các ứng dụng độc hại để từ đó cài đặt công cụ truy cập từ xa (chưa từng bị phát hiện) trên các hệ thống mục tiêu.

    Phần mềm độc hại có tên ElectroRAT được viết bằng ngôn ngữ lập trình Golang và được thiết kế để chạy trên nhiều nền tảng hệ điều hành như Windows, Linux và macOS. Nó được phát triển dựa trên nền tảng mã nguồn mở Electron.

    Các nhà nghiên cứu cho biết: “ElectroRAT là ví dụ mới nhất về việc những kẻ tấn công sử dụng Golang để phát triển mã độc đa nền tảng và tránh bị các phần mềm diệt virus phát hiện.

    Thường thì những kẻ đánh cắp thông tin sẽ cố gắng thu thập các private key để truy cập vào ví của nạn nhân trên một hệ điều hành cụ thể. Hiếm khi nào lại có các công cụ ngay từ đầu được viết để nhắm vào nhiều hệ điều hành".

    Chiến dịch, được phát hiện lần đầu tiên vào tháng 12, được cho là đã đánh cắp thông tin của hơn 6.500 nạn nhân dựa trên số lượng khách truy cập vào các trang Pastebin dùng để xác định các máy chủ C&C.

    malware.jpg
    Tin tặc tạo ra ba ứng dụng giả mạo khác nhau tương ứng với các hệ điều hành Windows, Linux, Mac. Hai ứng dụng "Jamm" và "eTrade" có chức năng quản lý tiền ảo. Ứng dụng còn lại "DaoPoker" giả mạo nền tảng tiền ảo Poker.

    Các ứng dụng độc hại không chỉ được lưu trữ trên các trang web được xây dựng đặc biệt cho chiến dịch này, mà còn được quảng cáo trên Twitter, Telegram và các diễn đàn liên quan đến tiền điện tử và blockchain hợp pháp như "bitcointalk" và "SteemCoinPan" nhằm thu hút người dùng tải xuống các ứng dụng độc hại.

    cryptocurrency-malware.jpg
    Sau khi được cài đặt, ứng dụng giả mạo sẽ mở ra một giao diện người dùng tưởng chừng như vô hại, nhưng trên thực tế, ElectroRAT chạy ngầm dưới dạng "mdworker", đi kèm với các khả năng xâm nhập để ghi lại các tổ hợp phím, chụp ảnh màn hình, tải lên tệp từ đĩa, tải xuống tệp tùy ý và thực hiện các lệnh độc hại từ máy chủ C&C trên máy của nạn nhân.

    Đáng chú ý là, bài phân tích trên các trang Pastebin được đăng tải bởi người dùng có tên "Execmac" vào ngày 08/01/2020. Tài khoản này đã đăng các thông tin trước chiến dịch nhắm vào máy chủ C&C sử dụng mã độc trên Windows như Amadey và KPOT. Có thể thấy, những kẻ tấn công đã chuyển hướng từ sử dụng các trojan phổ biến sang một mã độc đa nền tảng có thể hoạt động trên nhiều hệ điều hành.

    Các nhà nghiên cứu khuyến cáo người dùng bị ảnh hưởng bởi chiến dịch này nên loại bỏ các tiến trình độc hại trên máy tính, xóa tất cả các tệp liên quan đến mã độc này, chuyển tiền sang ví mới và đổi mật khẩu.

     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan