-
09/04/2020
-
85
-
553 bài viết
Mã độc đánh cắp thông tin EvilExtractor được rao bán trên Dark Web
EvilExtractor - một phần mềm độc hại đánh cắp thông tin mới xuất hiện trên thị trường chợ đen (Dark Web). Được quảng cáo là cung cấp “tất cả tính năng trong một phần mềm”, mã độc này được rao bán cho những kẻ tấn công với mục đích xấu như đánh cắp dữ liệu và tệp từ hệ thống Windows.
(Ảnh: Alamy Stock Photo)
Nhà nghiên cứu Cara Lin của Fortinet cho biết: “Mã độc bao gồm một số mô-đun hoạt động thông qua dịch vụ FTP. EvilExtractor cũng chứa các chức năng kiểm tra môi trường và Anti-VM. Dường như mục tiêu của mã độc là đánh cắp dữ liệu trình duyệt và thông tin từ các điểm cuối bị xâm nhập, sau đó tải lên máy chủ FTP của kẻ tấn công."
Fortinet cho biết hãng nhận thấy có sự gia tăng các cuộc tấn công phát tán phần mềm độc hại EvilExtractor vào tháng 3 năm 2023, hầu hết ở Châu Âu và Hoa Kỳ.
Ngày 22 tháng 10 năm 2022, EvilExtractor được rao bán trên diễn đàn tội phạm mạng Cracked bởi một người tên Kodex. Mã độc liên tục được cập nhật, tích hợp nhiều mô-đun khác nhau để đánh cắp thông tin hệ thống, mật khẩu và cookie từ các trình duyệt web, ghi lại các lần nhấn phím (record keystrokes) và có thể hoạt động như một phần mềm tống tiền bằng cách mã hóa các tập tin trên hệ thống mục tiêu.
Phần mềm độc hại này được cho là đã được sử dụng trong một chiến dịch email lừa đảo phát hiện vào ngày 30 tháng 3. Trong chiến dịch này, các email lừa người nhận khởi chạy một tệp thực thi giả mạo tài liệu PDF với lời đề nghị xác nhận "chi tiết tài khoản".
Cụ thể, tệp tin "Account_Info.exe" là một chương trình Python bị xáo trộn được tạo để khởi chạy EvilExtractor. Ngoài việc thu thập các tập tin, mã độc còn có thể kích hoạt webcam và chụp ảnh màn hình trên hệ thống mục tiêu.
Mới đây, Secureworks cũng công bố thông tin về một chiến dịch quảng cáo phát tán malware và tấn công SEO (SEO poisoning), trong đó hacker nhắm tới phát tán mã độc Bumblebee thông qua các bản cài đặt phần mềm hợp pháp đã bị cài trojan.
Gần đây, các hacker có xu hướng sử dụng kỹ thuật tấn công SEO và quảng cáo phát tán mã độc để chuyển hướng người dùng tìm kiếm trên các công cụ phổ biến như ChatGPT, Cisco AnyConnect, Citrix Workspace và Zoom tới các trang web giả mạo lưu trữ các bản cài đặt bị nhiễm mã độc. Nguyên nhân là do Microsoft đã bắt đầu chặn macro theo mặc định trong các tệp Office được tải xuống từ trên Internet.
Các tổ chức cần đảm bảo rằng các bản cập nhật và cài đặt phần mềm chỉ được tải xuống từ các trang web đáng tin cậy. Ngoài ra, người dùng không có đặc quyền thì không nên tự cài đặt phần mềm hoặc chạy các tập lệnh trên máy tính để giảm thiểu những rủi ro về an ninh mạng.
(Ảnh: Alamy Stock Photo)
Nhà nghiên cứu Cara Lin của Fortinet cho biết: “Mã độc bao gồm một số mô-đun hoạt động thông qua dịch vụ FTP. EvilExtractor cũng chứa các chức năng kiểm tra môi trường và Anti-VM. Dường như mục tiêu của mã độc là đánh cắp dữ liệu trình duyệt và thông tin từ các điểm cuối bị xâm nhập, sau đó tải lên máy chủ FTP của kẻ tấn công."
Fortinet cho biết hãng nhận thấy có sự gia tăng các cuộc tấn công phát tán phần mềm độc hại EvilExtractor vào tháng 3 năm 2023, hầu hết ở Châu Âu và Hoa Kỳ.
Ngày 22 tháng 10 năm 2022, EvilExtractor được rao bán trên diễn đàn tội phạm mạng Cracked bởi một người tên Kodex. Mã độc liên tục được cập nhật, tích hợp nhiều mô-đun khác nhau để đánh cắp thông tin hệ thống, mật khẩu và cookie từ các trình duyệt web, ghi lại các lần nhấn phím (record keystrokes) và có thể hoạt động như một phần mềm tống tiền bằng cách mã hóa các tập tin trên hệ thống mục tiêu.
Phần mềm độc hại này được cho là đã được sử dụng trong một chiến dịch email lừa đảo phát hiện vào ngày 30 tháng 3. Trong chiến dịch này, các email lừa người nhận khởi chạy một tệp thực thi giả mạo tài liệu PDF với lời đề nghị xác nhận "chi tiết tài khoản".
Cụ thể, tệp tin "Account_Info.exe" là một chương trình Python bị xáo trộn được tạo để khởi chạy EvilExtractor. Ngoài việc thu thập các tập tin, mã độc còn có thể kích hoạt webcam và chụp ảnh màn hình trên hệ thống mục tiêu.
Mới đây, Secureworks cũng công bố thông tin về một chiến dịch quảng cáo phát tán malware và tấn công SEO (SEO poisoning), trong đó hacker nhắm tới phát tán mã độc Bumblebee thông qua các bản cài đặt phần mềm hợp pháp đã bị cài trojan.
Gần đây, các hacker có xu hướng sử dụng kỹ thuật tấn công SEO và quảng cáo phát tán mã độc để chuyển hướng người dùng tìm kiếm trên các công cụ phổ biến như ChatGPT, Cisco AnyConnect, Citrix Workspace và Zoom tới các trang web giả mạo lưu trữ các bản cài đặt bị nhiễm mã độc. Nguyên nhân là do Microsoft đã bắt đầu chặn macro theo mặc định trong các tệp Office được tải xuống từ trên Internet.
Các tổ chức cần đảm bảo rằng các bản cập nhật và cài đặt phần mềm chỉ được tải xuống từ các trang web đáng tin cậy. Ngoài ra, người dùng không có đặc quyền thì không nên tự cài đặt phần mềm hoặc chạy các tập lệnh trên máy tính để giảm thiểu những rủi ro về an ninh mạng.
Theo The Hacker News