DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Hacker phát tán trình đánh cắp thông tin thông qua Google Ads
Các nhà nghiên cúu phát hiện một trình cắp thông tin mới được gọi là Mars. Nó được phát tán thông qua nhiều chiến dịch lợi dụng các phiên bản bẻ khóa của phần mềm để chèn mã độc nhằm lấy cắp thông tin được lưu trữ trong trình duyệt web và ví tiền điện tử.
Nhà nghiên cứu phần mềm độc hại của Morphisec, Arnold Osipov, cho biết trong một báo cáo: "Mars Stealer đang được phát tán thông qua tấn công phi kỹ thuật, chiến dịch malspam, phần mềm độc hại bẻ khóa và keygens".
Phát triển dựa trên Oski Stealer và phát hiện lần đầu tiên vào tháng 6 năm 2021, Mars Stealer liên tục được cập nhật và nâng cấp tính năng. Nhóm đứng sau phần mềm độc hại còn rao bán công cụ này trên 47 diễn đàn ngầm, trang darknet và kênh Telegram, chỉ với giá 160 đô la cho một đăng ký trọn đời.
Trình đánh cắp thông tin cho phép hacker thu thập nhiều thông tin cá nhân trên các hệ thống bị xâm nhập, bao gồm thông tin đăng nhập được lưu trữ và cookie trình duyệt, sau đó bán trên các thị trường chợ đen hoặc được sử dụng làm bàn đạp để phát động các cuộc tấn công khác.
Phiên bản mới của Mars Stealer được phát hành vào năm ngoái được trang bị nhiều tính năng hơn, một số trong số đó có liên quan đến việc sử dụng phiên bản bẻ khóa của phần mềm hợp pháp để lây nhiễm. Tuy nhiên, có một số cấu hình sai đã làm lộ các tài sản quan trọng trên internet, vô tình làm rò rỉ thông tin chi tiết về cơ sở hạ tầng của tin tặc.
Một chiến dịch gần đây được phát hiện nhắm mục tiêu vào thông tin tài khoản của sinh viên, giảng viên và nhà sản xuất nội dung thông qua việc chèn mã độc vào các ứng dụng hợp pháp.
Công ty an ninh mạng cho biết, với thông tin thu thập được, tin tặc đã "kiểm soát hoàn toàn cơ sở hạ tầng của một nhà cung cấp dịch vụ sức khỏe hàng đầu ở Canada và một số công ty dịch vụ nổi tiếng khác".
Mặc dù Mars Stealer được phát tán chủ yếu qua tin nhắn email spam có chứa tệp thực thi được nén, liên kết tải xuống hoặc mã độc trong tệp tài liệu, nhưng gần đây, nó sử dụng phương thức phát tán qua các trang web giả mạo các trang web nổi tiếng như OpenOffice sau đó dùng Google Ads để dụ dỗ nạn nhân truy cập.
Mục đích là tận dụng các quảng cáo được nhắm mục tiêu theo địa lý để lừa mục tiêu đang tìm kiếm phần mềm hợp pháp, tuy nhiên với Google Ads trang web giả mạo sẽ được hiển thị ở top đầu, điều này dẫn đến việc người dùng có thể truy cập vào trang web độc hại do hacker kiểm soát.
Mars Stealer được thiết kế để thu thập và trích xuất liệu tự động điền của trình duyệt, thông tin thẻ tín dụng, chi tiết tiện ích mở rộng trình duyệt, bao gồm cả thông tin của các ví tiền điện tử như Metamask, Coinbase Wallet, Binance Wallet và siêu dữ liệu hệ thống.
Do có một số sai sót trong mã của Mars Stealer, thông qua quá trình gỡ lỗi, các nhà nghiên cứu xác định dường như phần mềm độc hại có nguồn gốc từ Nga, cũng như phát hiện ra chi tiết về việc hacker sử dụng GitLab và thông tin đăng nhập bị đánh cắp để thiết lập Google Ads.
Nhà nghiên cứu cho biết: "Trình đánh cắp thông tin cho phép tin tặc thực hiện nhiều hành động nguy hiểm từ đó tạo ra nhiều phần mềm độc hại với nhiều tính năng nguy hại hơn".
Nhà nghiên cứu phần mềm độc hại của Morphisec, Arnold Osipov, cho biết trong một báo cáo: "Mars Stealer đang được phát tán thông qua tấn công phi kỹ thuật, chiến dịch malspam, phần mềm độc hại bẻ khóa và keygens".
Phát triển dựa trên Oski Stealer và phát hiện lần đầu tiên vào tháng 6 năm 2021, Mars Stealer liên tục được cập nhật và nâng cấp tính năng. Nhóm đứng sau phần mềm độc hại còn rao bán công cụ này trên 47 diễn đàn ngầm, trang darknet và kênh Telegram, chỉ với giá 160 đô la cho một đăng ký trọn đời.
Trình đánh cắp thông tin cho phép hacker thu thập nhiều thông tin cá nhân trên các hệ thống bị xâm nhập, bao gồm thông tin đăng nhập được lưu trữ và cookie trình duyệt, sau đó bán trên các thị trường chợ đen hoặc được sử dụng làm bàn đạp để phát động các cuộc tấn công khác.
Phiên bản mới của Mars Stealer được phát hành vào năm ngoái được trang bị nhiều tính năng hơn, một số trong số đó có liên quan đến việc sử dụng phiên bản bẻ khóa của phần mềm hợp pháp để lây nhiễm. Tuy nhiên, có một số cấu hình sai đã làm lộ các tài sản quan trọng trên internet, vô tình làm rò rỉ thông tin chi tiết về cơ sở hạ tầng của tin tặc.
Một chiến dịch gần đây được phát hiện nhắm mục tiêu vào thông tin tài khoản của sinh viên, giảng viên và nhà sản xuất nội dung thông qua việc chèn mã độc vào các ứng dụng hợp pháp.
Công ty an ninh mạng cho biết, với thông tin thu thập được, tin tặc đã "kiểm soát hoàn toàn cơ sở hạ tầng của một nhà cung cấp dịch vụ sức khỏe hàng đầu ở Canada và một số công ty dịch vụ nổi tiếng khác".
Mặc dù Mars Stealer được phát tán chủ yếu qua tin nhắn email spam có chứa tệp thực thi được nén, liên kết tải xuống hoặc mã độc trong tệp tài liệu, nhưng gần đây, nó sử dụng phương thức phát tán qua các trang web giả mạo các trang web nổi tiếng như OpenOffice sau đó dùng Google Ads để dụ dỗ nạn nhân truy cập.
Mục đích là tận dụng các quảng cáo được nhắm mục tiêu theo địa lý để lừa mục tiêu đang tìm kiếm phần mềm hợp pháp, tuy nhiên với Google Ads trang web giả mạo sẽ được hiển thị ở top đầu, điều này dẫn đến việc người dùng có thể truy cập vào trang web độc hại do hacker kiểm soát.
Mars Stealer được thiết kế để thu thập và trích xuất liệu tự động điền của trình duyệt, thông tin thẻ tín dụng, chi tiết tiện ích mở rộng trình duyệt, bao gồm cả thông tin của các ví tiền điện tử như Metamask, Coinbase Wallet, Binance Wallet và siêu dữ liệu hệ thống.
Do có một số sai sót trong mã của Mars Stealer, thông qua quá trình gỡ lỗi, các nhà nghiên cứu xác định dường như phần mềm độc hại có nguồn gốc từ Nga, cũng như phát hiện ra chi tiết về việc hacker sử dụng GitLab và thông tin đăng nhập bị đánh cắp để thiết lập Google Ads.
Nhà nghiên cứu cho biết: "Trình đánh cắp thông tin cho phép tin tặc thực hiện nhiều hành động nguy hiểm từ đó tạo ra nhiều phần mềm độc hại với nhiều tính năng nguy hại hơn".
Theo: thehackernews
Chỉnh sửa lần cuối bởi người điều hành: