Tin tặc tấn công các ứng dụng hội nghị truyền hình để đánh cắp dữ liệu tại Web3

Nhà nghiên cứu Tara Gould của công ty bảo mật Cado Security (Anh) cho biết, Những kẻ đe dọa đứng sau phần mềm độc hại đã thiết lập các công ty giả mạo sử dụng AI để tăng tính hợp pháp của chúng. Công ty này liên hệ với các mục tiêu để thiết lập cuộc gọi video, nhắc nhở người dùng tải xuống ứng dụng họp từ trang web, đó là Realst infostealer. Hoạt động này được đặt tên mã là Meeten vì sử dụng các tên như Clusee, Cuesee, Meeten, Meetone và Meetio cho các trang web giả mạo.

Các cuộc tấn công bao gồm tiếp cận các mục tiêu trên Telegram để thảo luận về một cơ hội đầu tư tiềm năng, thúc giục họ tham gia cuộc gọi video được lưu trữ trên một trong những nền tảng đáng ngờ. Người dùng truy cập vào trang web được nhắc tải xuống phiên bản Windows hoặc macOS tùy thuộc vào hệ điều hành được sử dụng.

Sau khi cài đặt và khởi chạy trên macOS, người dùng sẽ thấy thông báo "Phiên bản hiện tại của ứng dụng không hoàn toàn tương thích với phiên bản macOS của bạn" và họ cần nhập mật khẩu hệ thống để ứng dụng hoạt động như mong đợi.

Những ứng dụng giả mạo tin tặc sử dụng để đánh cắp dữ liệu 

Điều này được thực hiện bằng kỹ thuật osascript (là một thông báo pop-up giả mạo mà người dùng Mac có thể thỉnh thoảng gặp phải, đó là mã độc sẽ cài phần mềm gián điệp vào PC của người dùng) đã được một số macOS stealer áp dụng như Atomic macOS Stealer, Cuckoo, MacStealer, Banshee Stealer và Cthulhu Stealer. Mục tiêu cuối cùng của cuộc tấn công là đánh cắp nhiều loại dữ liệu nhạy cảm, bao gồm ví tiền điện tử và xuất dữ liệu của chúng sang máy chủ từ xa.

Phần mềm độc hại này cũng được trang bị để đánh cắp thông tin đăng nhập Telegram, thông tin ngân hàng, dữ liệu iCloud Keychain và cookie trình duyệt từ Google Chrome, Microsoft Edge, Opera, Brave, Arc, Cốc Cốc và Vivaldi. Đây không phải là lần đầu tiên các thương hiệu phần mềm họp giả mạo được sử dụng để phát tán phần mềm độc hại. Đầu tháng 3 này, Công ty nghiên cứu về các đe dọa bảo mật Jamf Threat Labs tiết lộ rằng họ đã phát hiện ra một trang web giả mạo có tên là meethub[.]gg để phát tán phần mềm độc hại đánh cắp có chung điểm trùng lặp với Realst.

Sau đó vào tháng 6, Công ty mạng tư nhân tại Mỹ Recorded Future đã công bố chi tiết một chiến dịch có tên markopolo nhắm vào người dùng tiền điện tử bằng phần mềm họp ảo giả mạo để rút tiền trong ví của họ bằng cách sử dụng Rhadamanthys, Stealc và Atomic.

Sự phát triển này diễn ra khi những kẻ đe dọa đứng sau phần mềm độc hại Banshee Stealer macOS đã đóng cửa hoạt động sau khi mã nguồn của chúng bị rò rỉ không rõ lý do. Phần mềm độc hại này được quảng cáo trên các diễn đàn tội phạm mạng với mức phí đăng ký hàng tháng là 3.000 đô la.

Sự xuất hiện của các họ phần mềm độc hại mới như Fickle Stealer, Wish Stealer, Hexon Stealer và Celestial Stealer cũng diễn ra sau khi người dùng và doanh nghiệp tìm kiếm phần mềm và công cụ AI vi phạm bản quyền lần lượt trở thành mục tiêu của RedLine Stealer và Poseidon Stealer.

Công ty sản xuất và phân phối phần mềm bảo mật của Nga Kaspersky cho biết về chiến dịch RedLine Stealer: "Những kẻ tấn công đứng sau chiến dịch này rõ ràng muốn tiếp cận các tổ chức của những doanh nhân nói tiếng Nga sử dụng phần mềm để tự động hóa các quy trình kinh doanh".

Khánh Mai