Theo bleepingcomputer, các tài khoản đặc biệt là những tài khoản đã được xác thực, là mục tiêu hàng đầu đối với các tin tặc, sở dĩ vì chúng có thể sử dụng những tài khoản này cho những hoạt động độc hại khác nhau, điển hình như các tiền điện tử và phân phối mã độc hại.
Bên cạnh đó, các tài khoản có quyền truy cập vào các nền tảng quảng cáo của , từ đó cho phép tin tặc sử dụng thông tin đăng nhập bị đánh cắp để chạy quảng cáo độc hại.
Các nhà nghiên cứu tại công ty an ninh mạng Zscaler (Hoa Kỳ) đã theo dõi các hành vi đánh cắp thông tin mới đây cũng như sự lây lan của mã độc FFDroider, đồng thời công bố một bản phân tích kỹ thuật chi tiết vào ngày 6/4/2022 dựa trên các dấu vết gần đây của mã độc này.
Giống như nhiều loại hình mã độc khác, FFDroider lây nhiễm thông qua các phần mềm crack, phần mềm miễn phí, trò chơi và các tệp khác được tải xuống từ các trang web torrent.
Khi thực hiện cài đặt các phần mềm, FFDroider cũng sẽ được cài đặt nhưng được ngụy trang và ẩn giấu thành ứng dụng Telegram trên máy tính để tránh bị phát hiện.
Sau khi khởi chạy, mã độc sẽ tạo một Windows registry có tên là “FFDroider” (cũng là tên của mã độc này).
Hình 1. FFDroider thêm registry trên hệ thống bị nhiễm
Các nhà nghiên cứu tại Zscaler đã xây dựng một lược đồ minh họa luồng tấn công, phương thức mà FFDroider được triển khai trên thiết bị của nạn nhân (Hình 2).
Hình 2. Sự lây nhiễm và quá trình hoạt động của FFDroider
FFDroid nhắm mục tiêu đến cookie và thông tin đăng nhập tài khoản được lưu trữ trong Google Chrome, Mozilla Firefox, Internet Explorer và Microsoft Edge. Ví dụ: mã độc này sẽ đọc và phân tích cú pháp cookie Chromium SQLite và SQLite Credential lưu trữ và giải mã các mục bằng cách lợi dụng Windows Crypt API, cụ thể là CryptUnProtectData function.
Quá trình hoạt động sẽ tương tự đối với các trình duyệt khác, với các chức năng như InternetGetCookieRxW và IEGet ProtectedMode Cookie bị lạm dụng để đánh cắp tất cả cookie được lưu trữ trong trình duyệt Internet Explorer và Edge.
Hình 3. Mã độc thực thi chức năng đánh cắp cookie Facebook từ trình duyệt Internet Explorer
Việc đánh cắp và giải mã dẫn đến tên người dùng và mật khẩu được hiển thị dưới dạng bản rõ, sau đó được gửi thông qua một yêu cầu HTTP POST đến máy chủ C2 (Command and Control). Cụ thế là địa chỉ: //152.32.228.19/seemorebty.
Hình 4. Lọc dữ liệu bị đánh cắp thông qua POST request
Không giống như nhiều mã độc đánh cắp mật khẩu khác, nhóm tin tặc phát triển của FFDroid không quan tâm đến tất cả thông tin đăng nhập tài khoản được lưu trữ trong trình duyệt web. Thay vào đó, chúng đang tập trung vào việc đánh cắp thông tin đăng nhập cho các tài khoản mạng xã hội và các trang web thương mại điện tử, bao gồm Facebook, Instagram, Amazon, eBay, Etsy, Twitter và thông tin ví WAX Cloud. Mục đích chính là đánh cắp các cookie hợp lệ có thể được sử dụng để xác thực trên các nền tảng này.
HÌnh 5. Đánh cắp cookie Facebook từ trình duyệt
Khi xác thực thành công trên Facebook, FFDroider sẽ lấy tất cả các trang và giấu trang Facebook, số lượng bạn bè của nạn nhân cũng như thông tin thanh toán và phí quảng cáo từ trình quản lý Facebook Ads manager.
Tin tặc có thể sử dụng thông tin này để chạy các chiến dịch quảng cáo lừa đảo trên các nền tảng truyền thông mạng xã hội và phân phối mã độc hại trên nhiều đối tượng khác.
Với Instagram, nếu đăng nhập thành công, FFDroider sẽ mở trang web chỉnh sửa tài khoản để lấy địa chỉ email, số điện thoại di động, tên người dùng, mật khẩu và các thông tin khác của tài khoản.
Hình 6. Cookie Instagram bị đánh cắp
Sau khi có được thông tin và gửi mọi thứ đến máy chủ C2, FFDroid sẽ tập trung vào việc tải xuống các mô-đun bổ sung từ máy chủ của nó vào những khoảng thời gian cố định. Các nhà phân tích của Zscaler chưa cung cấp nhiều thông tin chi tiết về các mô-đun này, nhưng việc có chức năng download khiến mối đe dọa thậm chí còn lớn hơn.
Để phòng tránh loại mã độc này, người dùng không nên cài đặt phần mềm từ các nguồn bất hợp pháp và không xác định. Ngoài ra, có thể thông qua VirusTotal để xác định xem các chương trình chống virus nào có thể phát hiện ra phần mềm tải về là độc hại hay không.
Hình 7. Kiểm tra phần mềm trực tuyến bằng VirusTotal
Đinh Hồng Đạt
10:00 | 08/04/2022
17:00 | 01/04/2022
10:00 | 11/07/2022
09:00 | 17/03/2022
17:00 | 01/04/2024
Trong 02 ngày 30 - 31/3/2024, Đoàn thiện nguyện của Tạp chí An toàn thông tin và Thanh tra Cơ yếu đã đồng hành cùng Đội sinh viên làm Công tác xã hội, trường Đại học Khoa học Xã hội và Nhân văn - ĐHQG Hà Nội tổ chức chương trình thiện nguyện “Khơi nguồn yêu thương” nhằm xây dựng giếng nước giúp đỡ 117 em học sinh tại điểm Trường Mầm non Phú Xuân, xã Phú Xuân, huyện Quan Hóa, tỉnh Thanh Hóa.
14:00 | 25/03/2024
Sáng 25/3, tại Hà Nội, Đại tướng Phan Văn Giang, Ủy viên Bộ Chính trị, Phó bí thư Quân ủy Trung ương, Bộ trưởng Bộ Quốc phòng đã có buổi làm việc với Ban Cơ yếu Chính phủ.
14:00 | 14/03/2024
Trung tâm Khiếu nại Tội phạm Internet (IC3) thuộc Cục Điều tra Liên bang Mỹ (FBI) đã công bố Báo cáo Tội phạm Internet thường niên năm 2023, trong đó ghi nhận mức thiệt hại của Mỹ đã tăng 22% so với năm 2022, lên tới mức kỷ lục là 12,5 tỷ USD.
08:00 | 10/02/2024
Cuộc Cách mạng công nghiệp lần thứ 4 đang diễn ra hết sức mạnh mẽ, các công nghệ mới đang phát triển với tốc độ chưa từng thấy trên tất cả các lĩnh vực. Từ điện toán lượng tử, nhà thông minh, xe tự hành, trợ lý ảo,… những công nghệ mới nổi này đang dần thay đổi cách chúng ta sống và làm việc. Trong bài viết này, tác giả sẽ đưa ra dự báo về 10 xu hướng công nghệ mới nổi đáng chú ý, dự kiến sẽ tạo ra những tác động đáng kể vào năm 2024 dựa trên tiềm năng của từng công nghệ, tình trạng phát triển hiện tại và những tác động mà nó có thể mang lại đối với các ngành nghề và lĩnh vực khác nhau.
Thời gian gần đây qua công tác nắm tình hình, lực lượng Công an phát hiện tình trạng một số đối tượng lừa đảo đã lập các nhóm chat (Group), giả danh các chuyên gia dụ dỗ nhà đầu tư tham gia hội nhóm kín trên mạng xã hội, cài đặt Website, App, gửi tiền đầu tư chứng khoán. Khi nạn nhân không còn khả năng gửi thêm tiền hoặc phát giác, nghi ngờ thì các đối tượng khóa tài khoản, chiếm đoạt số tiền của bị hại.
14:00 | 20/05/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Ngày 8/5, Intel cho biết doanh số bán hàng của công ty sẽ bị ảnh hưởng sau khi Mỹ thu hồi một số giấy phép xuất khẩu của nhà sản xuất chip này đối với một khách hàng ở Trung Quốc.
16:00 | 18/05/2024