Phần mềm độc hại đa nền tảng nhắm vào ví tiền điện tử

08:00 | 12/01/2021 | HACKER / MALWARE

Các nhà nghiên cứu an ninh mạng vừa tiết lộ một chiến dịch lừa đảo trên diện rộng nhắm vào người dùng tiền ảo được bắt đầu từ tháng 01/2020. Chiến dịch này phát tán các ứng dụng độc hại để từ đó cài đặt công cụ truy cập từ xa trên các hệ thống mục tiêu.

Phần mềm độc hại đa nền tảng nhắm vào ví tiền điện tử

Phần mềm độc hại có tên ElectroRAT được viết bằng ngôn ngữ lập trình Golang và được thiết kế để chạy trên nhiều nền tảng hệ điều hành như Windows, Linux và macOS. Nó được phát triển dựa trên nền tảng mã nguồn mở Electron.

Các nhà nghiên cứu cho biết: “ElectroRAT là ví dụ mới nhất về việc những tin tặc sử dụng Golang để phát triển phần mềm độc hại đa nền tảng và tránh bị các phần mềm diệt virus phát hiện.

Thông thường tin tặc sẽ cố gắng thu thập các private key để truy cập vào ví của nạn nhân trên một hệ điều hành cụ thể. Hiếm khi nào lại có các công cụ ngay từ đầu được viết để nhắm vào nhiều hệ điều hành.

Chiến dịch được phát hiện lần đầu tiên vào tháng 12/2020, đã đánh cắp thông tin của hơn 6.500 nạn nhân dựa trên số lượng khách truy cập vào các trang Pastebin dùng để xác định các máy chủ C&C.

Qua đó, tin tặc tạo ra ba ứng dụng giả mạo khác nhau tương ứng với các hệ điều hành Windows, Linux, Mac. Hai ứng dụng "Jamm" và "eTrade" có chức năng quản lý tiền ảo. Ứng dụng còn lại "DaoPoker" giả mạo nền tảng tiền ảo Poker.

Các ứng dụng độc hại không chỉ được lưu trữ trên các trang web được xây dựng đặc biệt cho chiến dịch này, mà còn được quảng cáo trên Twitter, Telegram và các diễn đàn liên quan đến tiền điện tử và blockchain hợp pháp như "bitcointalk", "SteemCoinPan" nhằm thu hút người dùng tải xuống các ứng dụng độc hại.

Sau khi được cài đặt, ứng dụng giả mạo sẽ mở ra một giao diện tưởng như vô hại, nhưng trên thực tế ElectroRAT chạy ngầm dưới dạng "mdworker", cho phép ghi lại các tổ hợp phím, chụp ảnh màn hình, tải lên tệp từ đĩa, tải xuống tệp tùy ý và thực hiện các lệnh độc hại từ máy chủ C&C trên máy của nạn nhân.

Đáng chú ý bài phân tích trên các trang Pastebin được đăng tải bởi người dùng có tên "Execmac" vào ngày 08/01/2020. Tài khoản này đã đăng các thông tin trước chiến dịch nhắm vào máy chủ C&C sử dụng mã độc trên Windows như Amadey và KPOT. Có thể thấy, những kẻ tấn công đã chuyển hướng từ sử dụng các trojan phổ biến sang một phần mềm độc hại đa nền tảng.

Các nhà nghiên cứu khuyến cáo người dùng bị ảnh hưởng bởi chiến dịch này nên loại bỏ các tiến trình độc hại trên máy tính, xóa tất cả các tệp liên quan, chuyển tiền sang ví mới và tiến hành đổi mật khẩu.

M.H

‹ › ×

Tin liên quan

Các tài khoản X của Netgear, Hyundai bị tin tặc tấn công

14:00 | 16/01/2024

Các tài khoản X (Twitter) chính thức của Netgear và Hyundai MEA (có hơn 160.000 người theo dõi) là những tài khoản nổi tiếng mới nhất bị tin tặc tấn công để phát tán lừa đảo, nhằm lây nhiễm phần mềm độc hại, chiếm đoạt tiền điện tử của các nạn nhân.

Phần mềm độc hại sunspot được sử dụng để đưa vào cửa hậu SolarWinds

14:00 | 21/01/2021

Khi cuộc điều tra về cuộc tấn công chuỗi cung ứng SolarWinds vẫn đang được tiếp tục, các nhà nghiên cứu an ninh mạng đã tiết lộ một phần mềm độc hại thứ ba được sử dụng để đưa cửa hậu vào nền tảng giám sát mạng Orion.

Người dùng Coinbase phải đối mặt với tấn công lừa đảo ngày càng tăng

16:00 | 31/07/2021

Tiền điện tử ngày càng có giá trị đã khiến tội phạm mạng càng tập trung vào các sàn giao dịch tiền điện tử, trong đó có Coinbase.

Cảnh báo về thủ đoạn trộm ví điện tử, tài khoản ngân hàng

14:00 | 07/05/2016

Phòng Cảnh sát phòng chống tội phạm về công nghệ cao, Công an TP. Hà Nội vừa có khuyến cáo người sử dụng cảnh giác với các thủ đoạn trộm ví điện tử.

Những lỗ hổng phổ biến nhất trong các dự án Blockchain và DeFi

16:00 | 21/06/2022

Trong thời gian qua, các dự án Blockchain và DeFi đang trên đà phát triển mạnh mẽ và trở thành một trong những đối tượng được tin tặc nhắm mục tiêu nhiều nhất.

Tấn công lừa đảo qua email về tiền điện tử: Đánh cắp từ ví nóng và ví lạnh

09:00 | 10/01/2024

Song song với mức độ phổ biến toàn cầu của tiền điện tử và có nhiều cách thức lưu trữ mới thì các kho công cụ tấn công được sử dụng bởi những tác nhân đe dọa tiền kỹ thuật số cũng ngày càng được mở rộng. Bài viết này dựa trên báo cáo của Kaspersky đề cập đến các phương pháp tấn công email khác nhau được tội phạm mạng sử dụng trong các chiến dịch lừa đảo nhắm vào hai cách lưu trữ tiền điện tử phổ biến nhất: ví nóng và ví lạnh.

Phần mềm độc hại nguy hiểm Emotet đã bị phá vỡ

11:00 | 08/02/2021

Các cơ quan thực thi pháp luật từ 8 quốc gia đã phá vỡ cơ sở hạ tầng của Emote - một phần mềm độc hại trên Windows phát tán qua email. Phần mềm này đứng sau một số chiến dịch thư rác do botnet điều khiển và các cuộc tấn công ransomware trong thập kỷ qua.

Cảnh báo phần mềm gián điệp chiếm đoạt hàng trăm tỷ đồng

16:00 | 08/12/2020

Qua công tác bảo vệ an ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, lực lượng Công an phát hiện một phần mềm gián điệp, được các đối tượng sử dụng nhằm lừa đảo, trộm cắp, chiếm đoạt tài sản của người dùng điện thoại hệ điều hành Android.

FireEye bị xâm nhập bằng backdoor từ phần mềm SolarWinds

16:00 | 17/12/2020

Công cụ giám sát hạ tầng công nghệ thông tin của nhà cung cấp SolarWinds đã bị xâm nhập và được sử dụng để tấn công vào các cơ quan chính phủ lớn của Hoa Kỳ như công ty bảo mật FireEye.

Tin cùng chuyên mục

Bóc tách chiến dịch quảng cáo độc hại MadMxShell

11:00 | 16/05/2024

Kể từ tháng 3/2024, các nhà nghiên cứu của công ty an ninh mạng Zscaler đã phát hiện một nhóm tin tặc sử dụng các tên miền giả để mạo danh các trang web quét IP hợp pháp nhằm phát tán backdoor có tên là MadMxShell. Những kẻ tấn công đăng ký nhiều tên miền trông giống nhau bằng cách sử dụng kỹ thuật Typosquatting và tận dụng quảng cáo Google Ads để đẩy các tên miền này lên đầu kết quả tìm kiếm, từ đó thu hút nạn nhân truy cập các trang web độc hại. Bài viết sẽ tiến hành phân tích kỹ thuật và cơ sở hạ tầng của các tác nhân đe dọa trong chiến dịch này dựa trên báo cáo của Zscaler.

Lỗ hổng CVE-2024-31497 trong PuTTY làm rò rỉ khóa riêng

10:00 | 08/05/2024

Mới đây, một lỗ hổng nghiêm trọng định danh CVE-2024-31497 được phát hiện trong PuTTY - ứng dụng client SSH phổ biến dành cho Windows làm rò rỉ khóa riêng.

Tấn công phishing với công cụ EVILGINX: mối đe dọa tiềm tàng

14:00 | 23/02/2024

Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.

Giải mã mạng botnet NoaBot nhắm mục tiêu khai thác tiền điện tử

15:00 | 26/01/2024

Các nhà nghiên cứu bảo mật của công ty an ninh mạng Akamai (Mỹ) phát hiện ra một mạng botnet mới dựa trên Mirai có tên là NoaBot, hiện đang được các tác nhân đe dọa sử dụng như một phần của chiến dịch khai thác tiền điện tử đã hoạt động kể từ đầu năm 2023. Bài viết này sẽ phân tích về đặc điểm của NoaBot và công cụ khai thác tiền điện tử được sử dụng trong chiến dịch tấn công mạng botnet này.