Phát hiện phần mềm độc hại mới nhắm mục tiêu vào trình duyệt web và ví điện tử để đánh cắp thông tin người dùng

Thứ ba - 30/05/2023 16:28 462 0
Các nhà nghiên cứu an ninh mạng đã phát hiện một phần mềm độc hại mới có tên Bandit Stealer đang nhắm mục tiêu vào nhiều trình duyệt web và ví điện tử để đánh cắp thông tin người dùng trên toàn cầu.
Một báo cáo mới được công bố ngày 26/5 vừa qua bởi Trend Micro - một trong những nhà cung cấp phần mềm bảo vệ an ninh mạng và diệt virus lớn nhất trên thế giới cho thấy, phần mềm độc hại Bandit Stealer có khả năng mở rộng sang các nền tảng khác vì nó được phát triển bằng ngôn ngữ lập trình Go, có thể cho phép khả năng tương thích đa nền tảng.
 
1
Ảnh minh hoạ.

Theo các chuyên gia bảo mật, phần mềm độc hại Bandit Stealer hiện đang tập trung nhắm mục tiêu vào hệ điều hành Windows bằng cách sử dụng công cụ dòng lệnh hợp pháp có tên runas.exe cho phép người dùng chạy các chương trình với tư cách là người dùng khác với các quyền khác nhau.

Mục tiêu của phần mềm độc hại này là tìm cách nâng cấp các đặc quyền và tự thực thi quyền truy cập quản trị (admin access), nhằm vượt qua các biện pháp bảo mật một cách hiệu quả của hệ điều hành để thu thập nhiều dữ liệu của người dùng.

Điều này cho thấy rằng, các biện pháp nhằm giảm thiểu quyền kiểm soát truy cập của Microsoft để ngăn chặn việc thực thi trái phép của các phần mềm độc hại khi quản trị viên yêu cầu cung cấp thông tin xác thực là rất cần thiết.
Theo Trend Micro, bằng cách sử dụng lệnh runas.exe, người dùng có thể chạy các chương trình với tư cách quản trị viên hoặc bất kỳ tài khoản người dùng nào khác có đặc quyền phù hợp, cung cấp môi trường an toàn hơn để chạy các ứng dụng quan trọng hoặc thực hiện các tác vụ cấp hệ thống.

“Tiện ích này đặc biệt hữu ích trong trường hợp tài khoản người dùng hiện tại không có đủ đặc quyền để thực thi một lệnh hoặc chương trình cụ thể”, Trend Micro cho biết thêm.

Phần mềm độc hại Bandit Stealer sử dụng các cách kiểm tra để xác định xem nó có đang chạy trong môi trường bị cô lập, được bảo vệ (hay còn gọi là sandbox) hay không để tìm cách vượt qua và che giấu sự hiện diện của nó trên hệ thống bị nhiễm.

Phần mềm độc hại này còn tìm cách sửa đổi cơ sở dữ liệu dùng để lưu trữ thông số kỹ thuật của Windows (Windows Registry) trước khi bắt đầu các hoạt động thu thập dữ liệu bao gồm thu thập dữ liệu cá nhân và tài chính được lưu trữ trong trình duyệt web và ví điện tử của người dùng.

Bandit Stealer được cho là được phát tán qua email lừa đảo có chứa tệp lừa đảo, chứa virus dạng tệp đính kèm Microsoft Word dường như vô hại như một thủ đoạn để đánh lạc hướng người dùng trong khi kích hoạt lây nhiễm.

Công ty bảo mật Trend Micro cho biết, họ cũng đã phát hiện một trình cài đặt giả mạo Heart Sender, một dịch vụ tự động hóa quá trình gửi email spam và tin nhắn SMS tới nhiều người nhận, được sử dụng để lừa người dùng khởi chạy phần mềm độc hại được nhúng trong đó.

Quá trình diễn ra khi công ty an ninh mạng phát hiện ra một kẻ đánh cắp thông tin dựa trên ngôn ngữ lập trình Rust nhắm mục tiêu vào hệ điều hành Windows, sử dụng tài khoản dịch vụ dựa trên đám mây GitHub Codespaces do kẻ tấn công kiểm soát làm kênh đánh cắp để lấy thông tin đăng nhập trình duyệt web, thẻ tín dụng, ví điện tử và mã thông báo trên ứng dụng trò chuyện Steam và Discord của nạn nhân.

Phần mềm độc hại này sử dụng một chiến thuật tương đối khác thường, đạt được sự tồn tại lâu dài trên hệ thống bằng cách sửa đổi ứng dụng khách Discord đã cài đặt để chèn mã JavaScript được thiết kế để thu thập thông tin từ ứng dụng.

Các phát hiện mới này tiếp theo sau sự xuất hiện của một số chủng phần mềm độc hại như Luca, StrelaStealer, DarkCloud, WhiteSnake và Invicta Stealer, một số trong số đó đã được phát hiện lan truyền qua email spam và các phiên bản lừa đảo của phần mềm phổ biến.

Một xu hướng đáng chú ý khác là việc sử dụng các video trên YouTube để quảng cáo phần mềm bẻ khóa thông qua các kênh bị xâm phạm với hàng triệu người đăng ký.

Dữ liệu được tích lũy từ những kẻ đánh cắp có thể mang lại lợi ích cho các nhà khai thác theo nhiều cách, cho phép chúng khai thác các mục đích như đánh cắp danh tính, thu lợi tài chính, vi phạm dữ liệu, tấn công nhồi thông tin xác thực và chiếm đoạt tài khoản.

Thông tin bị đánh cắp cũng có thể được bán cho các tác nhân khác, làm nền tảng cho các cuộc tấn công tiếp theo có thể bao gồm từ các chiến dịch được nhắm mục tiêu đến các cuộc tấn công bằng mã độc tống tiền.

Những phát hiện này làm nổi bật sự phát triển liên tục của phần mềm đánh cắp dữ liệu thành một mối đe dọa nguy hiểm hơn, giống như thị trường phần mềm độc hại dưới dạng dịch vụ (Malware-as-a-service: MaaS).

Dữ liệu từ bộ phận ứng phó an ninh mạng SecureWorks Counter Threat Unit (CTU) của công ty máy tính Dell (Mỹ) cho thấy, thị trường tội phạm đánh cắp thông tin đang phát triển mạnh trên thế giới, trong đó riêng thị trường Nga tăng 670% trong khoảng thời gian từ tháng 6 năm 2021 đến tháng 5 năm 2023.

Don Smith, Phó Chủ tịch của CTU cho biết: “Những gì chúng ta đang thấy là toàn bộ nền kinh tế ngầm và cơ sở hạ tầng hỗ trợ được xây dựng xung quanh những phần mềm gián điệp được sử dụng để thu thập thông tin cá nhân. Hành động phối hợp toàn cầu của cơ quan thực thi pháp luật đang có một số tác động đáng kể, nhưng tội phạm mạng rất giỏi trong việc định hình lại lộ trình tiếp cận thị trường của chúng”./.

Tác giả: Phan Văn Hoà

Nguồn tin: Báo Nghệ An điện tử

Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây