Một cái mới lén lút kẻ đánh cắp thông tin đang trượt vào máy người dùng thông qua chuyển hướng trang web từ Quảng cáo Google đóng vai trò là trang web tải xuống phần mềm lực lượng lao động từ xa phổ biến, chẳng hạn như Zoom và AnyDesk.
Các tác nhân đe dọa đằng sau dòng phần mềm độc hại mới, “Rhadamanthys Stealer” — có sẵn để mua trên Dark Web theo mô hình phần mềm độc hại dưới dạng dịch vụ — đang sử dụng hai phương thức phân phối để lan truyền tải trọng của chúng, các nhà nghiên cứu từ Cyble tiết lộ trong một bài đăng trên blog xuất bản ngày 12 tháng XNUMX.
Một là thông qua các trang web lừa đảo được tạo cẩn thận mạo danh các trang tải xuống không chỉ cho Zoom mà còn cho cả AnyDesk, Notepad++ và Bluestacks. Các nhà nghiên cứu cho biết cách khác là thông qua các email lừa đảo điển hình hơn cung cấp phần mềm độc hại dưới dạng tệp đính kèm độc hại.
Cả hai phương thức phân phối đều gây ra mối đe dọa cho doanh nghiệp, vì lừa đảo kết hợp với sự cả tin của con người đối với những nhân viên công ty không ngờ tới tiếp tục là một cách thành công để những kẻ đe dọa “có được quyền truy cập trái phép vào mạng công ty, điều đã trở thành mối lo ngại nghiêm trọng”, họ nói.
Thật, một cuộc khảo sát hàng năm bởi Verizon về vi phạm dữ liệu nhận thấy rằng vào năm 2021, khoảng 82% tất cả các vi phạm liên quan đến kỹ thuật xã hội dưới một số hình thức, trong đó các tác nhân đe dọa thích lừa đảo mục tiêu của chúng qua email hơn 60% thời gian.
Lừa đảo “có sức thuyết phục cao”
Các nhà nghiên cứu đã phát hiện một số miền lừa đảo mà các tác nhân đe dọa đã tạo ra để phát tán Rhadamanthys, hầu hết trong số đó dường như là liên kết trình cài đặt hợp pháp cho các thương hiệu phần mềm khác nhau đã nói ở trên. Một số liên kết độc hại mà họ đã xác định bao gồm: bluestacks-install[.]com, zoomus-install[.]com, install-zoom[.]com, install-anydesk[.]com và zoom-meetings-install[.]com.
Họ viết: “Những kẻ đe dọa đằng sau chiến dịch này… đã tạo ra một trang web lừa đảo có sức thuyết phục cao mạo danh các trang web hợp pháp để lừa người dùng tải xuống phần mềm độc hại đánh cắp, phần mềm này thực hiện các hoạt động độc hại”.
Các nhà nghiên cứu cho biết nếu người dùng mắc bẫy, các trang web sẽ tải xuống tệp trình cài đặt được ngụy trang dưới dạng trình cài đặt hợp pháp để tải xuống các ứng dụng tương ứng, âm thầm cài đặt phần mềm đánh cắp trong nền mà người dùng không hề hay biết.
Trong khía cạnh email truyền thống hơn của chiến dịch, những kẻ tấn công sử dụng thư rác tận dụng công cụ kỹ thuật xã hội điển hình để mô tả sự cấp bách phải trả lời thư có chủ đề tài chính. Các email có mục đích gửi báo cáo tài khoản cho người nhận kèm theo Statement.pdf mà họ nên nhấp vào để có thể trả lời bằng “phản hồi ngay lập tức”.
Nếu ai đó nhấp vào tệp đính kèm, tệp sẽ hiển thị thông báo cho biết đó là “Trình cập nhật Adobe Acrobat DC” và bao gồm liên kết tải xuống có nhãn “Tải xuống bản cập nhật”. Liên kết đó, sau khi được nhấp vào, sẽ tải xuống phần mềm độc hại có thể thực thi được cho kẻ đánh cắp từ URL “https[:]\zolotayavitrina[.]com/Jan-statement[.]exe” các nhà nghiên cứu cho biết vào thư mục Tải xuống của máy nạn nhân.
Họ cho biết sau khi tệp này được thực thi, kẻ đánh cắp được triển khai để lấy dữ liệu nhạy cảm như lịch sử trình duyệt và các thông tin đăng nhập tài khoản khác nhau — bao gồm cả công nghệ cụ thể để nhắm mục tiêu vào ví tiền điện tử — từ máy tính của mục tiêu.
Tải trọng Rhadamanthys
Rhadamanthys hành động ít nhiều giống như một kẻ đánh cắp thông tin điển hình; tuy nhiên, nó có một số tính năng độc đáo mà các nhà nghiên cứu đã xác định được khi họ quan sát quá trình thực thi của nó trên máy của nạn nhân.
Các nhà nghiên cứu nhận thấy mặc dù các tệp cài đặt ban đầu của nó ở dạng mã Python bị xáo trộn, nhưng tải trọng cuối cùng được giải mã dưới dạng mã shell ở dạng tệp thực thi 32 bit được biên dịch bằng trình biên dịch Microsoft visual C/C++.
Nhiệm vụ đầu tiên của shellcode là tạo một đối tượng mutex nhằm đảm bảo rằng chỉ có một bản sao của phần mềm độc hại đang chạy trên hệ thống của nạn nhân tại bất kỳ thời điểm nào. Các nhà nghiên cứu cho biết, nó cũng kiểm tra xem liệu nó có đang chạy trên một máy ảo hay không, bề ngoài là để ngăn kẻ đánh cắp bị phát hiện và phân tích trong môi trường ảo.
Họ viết: “Nếu phần mềm độc hại phát hiện ra rằng nó đang chạy trong một môi trường được kiểm soát, nó sẽ chấm dứt quá trình thực thi của nó. “Nếu không, nó sẽ tiếp tục và thực hiện hoạt động đánh cắp như dự định.”
Hoạt động đó bao gồm thu thập thông tin hệ thống — chẳng hạn như tên máy tính, tên người dùng, phiên bản hệ điều hành và các chi tiết máy khác — bằng cách thực hiện một loạt truy vấn Công cụ quản lý Windows (WMI). Tiếp theo là truy vấn thư mục của các trình duyệt đã cài đặt — bao gồm Brave, Edge, Chrome, Firefox, Opera Software và các trình duyệt khác — trên máy của nạn nhân để tìm kiếm và đánh cắp lịch sử trình duyệt, dấu trang, cookie, tự động điền và Thông tin đăng nhập.
Kẻ đánh cắp cũng có nhiệm vụ cụ thể là nhắm mục tiêu vào các ví tiền điện tử khác nhau, với các mục tiêu cụ thể như Armory, Binance, Bitcoin, ByteCoin, WalletWasabi, Zap, v.v. Các nhà nghiên cứu cho biết, nó cũng đánh cắp dữ liệu từ các tiện ích mở rộng trình duyệt ví tiền điện tử khác nhau, được mã hóa cứng trong tệp nhị phân của kẻ đánh cắp.
Các ứng dụng khác mà Rhadamanthys nhắm đến là: ứng dụng khách FTP, ứng dụng email, trình quản lý tệp, trình quản lý mật khẩu, dịch vụ VPN và ứng dụng nhắn tin. Kẻ đánh cắp cũng chụp ảnh màn hình máy của nạn nhân. Các nhà nghiên cứu cho biết phần mềm độc hại cuối cùng sẽ gửi tất cả dữ liệu bị đánh cắp đến máy chủ chỉ huy và kiểm soát (C2) của kẻ tấn công.
Nguy hiểm cho Doanh nghiệp
Kể từ sau đại dịch, lực lượng lao động của công ty nhìn chung đã trở nên phân tán hơn về mặt địa lý, tạo ra những thách thức bảo mật độc đáo. Các công cụ phần mềm giúp cộng tác từ xa dễ dàng hơn — như Zoom và AnyDesk — đã trở thành mục tiêu phổ biến không chỉ cho các mối đe dọa dành riêng cho ứng dụng, mà còn cho các chiến dịch kỹ thuật xã hội của những kẻ tấn công muốn tận dụng những thách thức này.
Các nhà nghiên cứu cho biết, trong khi hầu hết các nhân viên của công ty hiện nay nên biết rõ hơn, lừa đảo vẫn là một cách rất thành công để những kẻ tấn công giành được chỗ đứng trong mạng doanh nghiệp. Do đó, các nhà nghiên cứu của Cybel khuyến nghị tất cả các doanh nghiệp nên sử dụng các sản phẩm bảo mật để phát hiện các email và trang web lừa đảo trên mạng của họ. Họ cũng cho biết những điều này cũng nên được mở rộng cho các thiết bị di động truy cập mạng công ty.
Các nhà nghiên cứu cho biết các doanh nghiệp nên giáo dục nhân viên về sự nguy hiểm của việc mở tệp đính kèm email từ các nguồn không đáng tin cậy, cũng như tải xuống phần mềm vi phạm bản quyền từ Internet. Họ cũng nên củng cố tầm quan trọng của việc sử dụng mật khẩu mạnh và thực thi xác thực đa yếu tố bất cứ khi nào có thể.
Cuối cùng, các nhà nghiên cứu của Cyble khuyên rằng theo nguyên tắc chung, các doanh nghiệp nên chặn các URL — chẳng hạn như các trang Torrent/Warez — có thể được sử dụng để phát tán phần mềm độc hại.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến thức. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/threat-intelligence/sneaky-stealer-woos-remote-workers-fake-zoom-downloads
- 7
- a
- Giới thiệu
- truy cập
- truy cập
- Tài khoản
- ngang qua
- hoạt động
- hoạt động
- hành vi
- Adobe
- quảng cáo
- Tất cả
- và
- hàng năm
- xuất hiện
- các ứng dụng
- ứng dụng
- khía cạnh
- Xác thực
- có sẵn
- lý lịch
- mồi
- bởi vì
- trở nên
- sau
- được
- Hơn
- nhị phân
- Bitcoin
- Chặn
- Blog
- bookmark
- thương hiệu
- dũng cảm
- vi phạm
- trình duyệt
- trình duyệt
- kinh doanh
- Chiến dịch
- Chiến dịch
- chụp
- cẩn thận
- thách thức
- Séc
- cơ rôm
- khách hàng
- mã
- hợp tác
- Thu
- kết hợp
- máy tính
- Liên quan
- tiếp tục
- liên tiếp
- kiểm soát
- bánh quy
- Doanh nghiệp
- tạo
- tạo ra
- Credentials
- Crypto
- ví tiền điện tử
- nguy hiểm
- tối
- Web tối
- dữ liệu
- Vi phạm dữ liệu
- dc
- cung cấp
- giao hàng
- triển khai
- chi tiết
- phát hiện
- Thiết bị (Devices)
- thư mục
- phân tán
- màn hình
- lĩnh vực
- tải về
- Tải xuống
- dễ dàng hơn
- Cạnh
- giáo dục
- nhân viên
- Kỹ Sư
- đảm bảo
- Doanh nghiệp
- doanh nghiệp
- Môi trường
- cuối cùng
- cuối cùng
- thi hành
- thực hiện
- mở rộng
- giả mạo
- Tính năng
- Tập tin
- Các tập tin
- tài chính
- Firefox
- Tên
- sau
- hình thức
- tìm thấy
- từ
- Thu được
- Tổng Quát
- được
- cao
- lịch sử
- Tuy nhiên
- HTTPS
- Nhân loại
- xác định
- lập tức
- tầm quan trọng
- in
- bao gồm
- bao gồm
- Bao gồm
- Thông tin
- thông tin
- ban đầu
- Cài đặt
- Internet
- tham gia
- IT
- Tháng
- Biết
- Biết
- Tỉ lệ đòn bẩy
- LINK
- liên kết
- máy
- Máy móc
- làm cho
- phần mềm độc hại
- quản lý
- Quản lý
- Nhiệm vụ
- tin nhắn
- tin nhắn
- phương pháp
- microsoft
- di động
- thiết bị di động
- kiểu mẫu
- chi tiết
- hầu hết
- xác thực đa yếu tố
- tên
- mạng
- mạng
- Mới
- Notepad + +
- con số
- vật
- ONE
- mở
- Opera
- gọi món
- OS
- Nền tảng khác
- Khác
- nếu không thì
- tổng thể
- đại dịch
- một phần
- Mật khẩu
- Mật khẩu
- Thực hiện
- giả mạo
- Lừa đảo
- Trang web lừa đảo
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Phổ biến
- có thể
- ngăn chặn
- Sản phẩm
- công bố
- mua
- Python
- người nhận
- giới thiệu
- củng cố
- vẫn còn
- xa
- công nhân từ xa
- trả lời
- nhà nghiên cứu
- mà
- Trả lời
- phản ứng
- Quy tắc
- chạy
- Nói
- ảnh chụp màn hình
- Tìm kiếm
- an ninh
- gửi
- nhạy cảm
- Loạt Sách
- nghiêm trọng
- DỊCH VỤ
- nên
- Các trang web
- trượt
- Hèn hạ
- So
- Mạng xã hội
- Kỹ thuật xã hội
- Phần mềm
- một số
- Một người nào đó
- nguồn
- thư rác
- riêng
- lan tràn
- Tuyên bố
- báo cáo
- ăn trộm
- ăn cắp
- mạnh mẽ
- thành công
- như vậy
- hệ thống
- Hãy
- Mục tiêu
- nhắm mục tiêu
- mục tiêu
- Công nghệ
- Sản phẩm
- cung cấp their dịch
- chủ đề
- mối đe dọa
- diễn viên đe dọa
- Thông qua
- thời gian
- đến
- công cụ
- công cụ
- truyền thống
- điển hình
- Dưới
- độc đáo
- Cập nhật
- khẩn cấp
- URL
- sử dụng
- người sử dang
- Người sử dụng
- khác nhau
- Verizon
- phiên bản
- thông qua
- nạn nhân
- ảo
- máy ảo
- VPN
- Ví
- web
- Website
- trang web
- cái nào
- trong khi
- sẽ
- cửa sổ
- không có
- công nhân
- Lực lượng lao động
- zephyrnet
- thu phóng