Theo thông tin từ báo cáo xu hướng tấn công APT Quý III năm 2022 của Kaspersky, tin tặc đứng sau chiến dịch SandStrike hướng mục tiêu chính vào một nhóm tôn giáo Baháʼí (chủ yếu xuất hiện tại một số khu vực của Trung Đông và đặc biệt ở Iran).
Trong chiến dịch SandStrike nhằm đánh lừa các nạn nhân tải xuống phần mềm gián điệp, tin tặc thiết lập giả mạo các tài khoản Facebook cũng như Instagram với hơn 1.000 người theo dõi và thiết kế các tài liệu liên quan đến chủ đề về tôn giáo, để chuyển hướng nạn nhân đến một kênh Telegram do tin tặc tạo ra.
Trên kênh Telegram này, một số liên kết được cung cấp nhằm đánh lừa nạn nhân tải xuống và cài đặt ứng dụng VPN độc hại. Tin tặc quảng cáo rằng với kết nối VPN này người dùng có thể vượt qua kiểm duyệt những tài liệu tôn giáo bị cấm và không được cung cấp công khai ở một số khu vực nhất định (hầu hết các nạn nhân là những người theo tôn giáo Baháʼí).
Mặc dù bề ngoài ứng dụng là cung cấp kết nối VPN để vượt qua kiểm duyệt về vấn đề tôn giáo, nhưng nó cũng được cấu hình để bí mật thu thập và đánh cắp nhiều loại thông tin dữ liệu khác nhau, như: nhật ký cuộc gọi, danh bạ và kết nối với máy chủ từ xa để tìm nạp các tập lệnh bổ sung, đồng thời cũng sẽ giám sát các thiết bị Android bị xâm phạm để giúp tin tặc theo dõi hoạt động của nạn nhân. Chiến dịch tấn công SandStrile với mục tiêu nhắm vào một nhóm tôn giáo bị cấm cho thấy vấn đề liên quan đến "địa chính trị" đang diễn ra - một chủ đề ngày càng phổ biến trong các chiến dịch sử dụng phần mềm độc hại.
Theo Trung tâm Nghiên cứu Pew (Mỹ), tính đến năm 2019, có đến 6 quốc gia ở khu vực Trung Đông đã cấm tôn giáo Baháʼí. Chiến dịch này như một lời cảnh báo, đặc biệt đối với người dùng mạng xã hội và thiết bị di động ở khắp mọi nơi trên thế giới.
Nhà nghiên cứu bảo mật Victor Chebyshev của Kaspersky đánh giá: “Các tác nhân APT liên tục nghiên cứu và phát triển nhiều hơn các công cụ tấn công, đồng thời cải tiến các công cụ trước đó để khởi động những chiến dịch độc hại mới, đặc biệt là nhắm mục tiêu đến các thiết bị di động. Trong các cuộc tấn công như vậy, tin tặc sử dụng những phương pháp hết sức tinh vi, lợi dụng vào nhiều chủ đề liên quan để đánh vào tâm lý của các nạn nhân nhằm đánh lừa và dụ dỗ họ. Do vậy, việc phát tán phần mềm độc hại thông qua mạng xã hội như SandStrike ngày nay trở nên rất dễ dàng, một số cuộc tấn công thậm chí không bị phát hiện trong vài tháng hoặc hơn thế nữa. Đây là lý do tại sao phải luôn cảnh giác và đảm bảo rằng các tổ chức, doanh nghiệp cũng như người dùng cuối luôn được cung cấp thông tin tình báo về mối đe dọa và các công cụ phù hợp để bảo vệ trước các chiến dịch tấn công hiện có và mới nổi”.
SandStrike không phải là phần mềm độc hại duy nhất được phát hiện nhắm mục tiêu vào điện thoại Android trong tháng 11 này. Một nhóm 4 ứng dụng độc hại trên Cửa hàng ứng dụng Google Play đã bị nhiễm vi-rút có tên là “HiddenApps” bao gồm: Bluetooth Auto Connect; Bluetooth App Sender; Driver: Bluetooth, Wi-Fi, USB và Mobile Transfer: smart switch. Theo nghiên cứu mới từ công ty bảo mật Malwarebytes, những ứng dụng này đã được tải xuống hơn một triệu lần.
Trong tháng 10/2022, nền tảng nhắn tin WhatsApp trên Android đã gặp phải sự cố với một phần mềm độc hại mới. Theo đó, tin tặc đã sử dụng một ứng dụng sao chép YoWhatsApp để dụ nạn nhân tải xuống một Trojan Android có tên là Triada, cho phép tin tặc có thể đánh cắp tài khoản cá nhân. Theo báo cáo của Kaspersky, hơn 3.600 người dùng trở thành nạn nhân của cuộc tấn công này từ tháng 8 đến tháng 10/2022.
Kaspersky cho biết họ đã ngăn chặn khoảng 5,5 triệu các cuộc tấn công phần mềm độc hại và phần mềm quảng cáo nhắm vào thiết bị di động trong Quý II năm 2022. Mặt khác, theo nghiên cứu của công ty an ninh mạng Proofpoint (Mỹ), Quý I năm 2022 đã chứng kiến sự gia tăng 500% các hoạt động phân phối phần mềm độc hại trên thiết bị di động ở châu Âu, sự gia tăng diễn ra sau khi các cuộc tấn công giảm mạnh vào cuối năm 2021.
Proofpoint cũng lưu ý rằng nhiều nhóm tin tặc APT đang nhắm mục tiêu vào các thiết bị Android nhiều hơn so với các thiết bị trên iOS, một phần bởi iOS không cho phép người dùng cài đặt ứng dụng thông qua cửa hàng ứng dụng không chính thức của bên thứ ba hoặc tải trực tiếp xuống thiết bị, giống như Android.
Đối với các tổ chức, doanh nghiệp trong bối cảnh các mối đe doạ mạng đã thay đổi và phức tạp hơn trong những năm gần đây thì việc sử dụng thông tin tình báo về mối đe dọa ngày càng trở nên quan trọng. Thông tin tình báo về mối đe dọa có thể giúp các tổ chức luôn sẵn sàng ứng phó bằng cách cung cấp cho họ thông tin về các mối đe dọa và xu hướng mới nhất. Thông tin này có thể được sử dụng để cải thiện khả năng phòng thủ an ninh và giúp các tổ chức phản ứng nhanh với các cuộc tấn công mới.
Với người dùng cuối, nên sử dụng phần mềm chống vi-rút đáng tin cậy dành cho Android để rà quét, loại bỏ và ngăn chặn phần mềm gián điệp hoặc bất kỳ mối đe dọa nào khác; Đảm bảo phần mềm luôn được cập nhật, cả hệ điều hành và ứng dụng đều phải được cập nhật các bản vá bảo mật mới nhất.
Bên cạnh đó, người dùng cần sử dụng các dịch vụ VPN đáng tin cậy và không tải, cài đặt từ các kho ứng dụng bên thứ 3; kiểm tra các quyền cấp cho những ứng dụng đã cài đặt, bởi một số quyền trong số đó có thể gây nguy hiểm và mất an toàn cho người dùng.
Hồng Đạt
16:00 | 16/12/2022
14:00 | 19/07/2022
10:00 | 21/12/2022
15:00 | 21/12/2022
15:00 | 09/05/2022
09:00 | 27/12/2023
09:00 | 06/06/2023
09:00 | 24/11/2023
11:00 | 17/06/2022
15:00 | 15/03/2022
09:00 | 08/12/2023
Để bổ sung thêm những tính năng dành cho các nền tảng ứng dụng nhắn tin hiện nay, các nhà phát triển bên thứ ba đã đưa ra các bản mod (phiên bản sửa đổi của ứng dụng không chính thức) cung cấp các tính năng mới bên cạnh những nâng cấp về mặt giao diện. Tuy nhiên, một số mod này có thể chứa phần mềm độc hại cùng với các cải tiến hợp pháp. Một trường hợp điển hình đã xảy ra vào năm ngoái khi các nhà nghiên cứu Kaspersky phát hiện ra Trojan Triada bên trong bản mod WhatsApp. Gần đây, các nhà nghiên cứu đã phát hiện một bản mod Telegram có module gián điệp được nhúng và phân phối thông qua Google Play. Câu chuyện tương tự hiện tại xảy ra với WhatsApp, khi một số bản mod trước đây đã được phát hiện có chứa module gián điệp có tên là Trojan-Spy.AndroidOS.CanesSpy.
14:00 | 08/11/2023
Một nhóm tin tặc hacktivist ủng hộ phong trào Hamas đã bị phát hiện đang sử dụng phần mềm độc hại Wiper mới dựa trên hệ điều hành Linux với mục tiêu nhắm vào các công ty của Israel, trong bối cảnh cuộc chiến quân sự giữa Israel và Hamas đang diễn ra.
10:00 | 11/10/2023
Một nhóm tin tặc có tên RansomedVC vừa qua đã tuyên bố xâm nhập thành công hệ thống máy tính của Sony và đánh cắp dữ liệu nhạy cảm. Như các nhóm tin tặc sử dụng mã độc tống tiền khác, chúng đã đưa ra thông báo rao bán dữ liệu trên web đen của mình.
10:00 | 22/09/2023
Một phần mềm độc hại đánh cắp thông tin mới có tên là “MetaStealer” đã bị phát hiện nhắm mục tiêu tới các máy tính macOS chạy Intel để thu thập nhiều loại thông tin nhạy cảm quan trọng.
Một lỗi bảo mật Bluetooth nghiêm trọng được cho là đã tồn tại trong vài năm gần đây có thể bị tin tặc khai thác để chiếm quyền kiểm soát trên các thiết bị Android, Linux, macOS và iOS.
14:00 | 19/12/2023