PDA

View Full Version : Mă độc ăn cắp thông tin ví tiền điện tử ẩn nấp trong Google Ads: Nạn nhân 'tự lây nhiễm'?


therealrtz
05-04-2022, 10:30
Phần mềm độc hại này hoạt động rất tinh vi.

Kẻ cắp sao Hỏa
Một biến thể phần mềm độc hại đánh cắp thông tin mới được phát hiện có tên Mars Stealer - kẻ cắp sao Hỏa. Nó đang được phát tán rộng răi và các chuyên gia phân tích nguy cơ hiện đă phát hiện ra một chiến dịch lây nhiễm quy mô lớn đầu tiên của nó.

Mars Stealer được thiết kế lại dựa trên phần mềm độc hại Oski đă ngừng phát triển vào năm 2020, có khả năng đánh cắp nhiều thông tin và nhắm đến nhiều ứng dụng.

Mars Stealer được quảng cáo trên các diễn đàn hack với giá chỉ từ 140 USD – 160 USD, nhưng vẫn ít lượt mua. Tuy nhiên gần đây, khi một phần mềm tượng tự là Raccoon Stealer bị dừng hoạt động đột ngột buộc tội phạm mạng phải t́m kiếm giải pháp thay thế và Mars Stealer đă được chú ư.

Các nhà phân tích mối đe dọa tại công ty an ninh mạng Morphisec đă phát hiện ra chiến dịch thay thế này.

Chiến dịch OpenOffice
Các chuyên gia của Morphisec đă phát hiện ra một chiến dịch phát tán Mars Stealer thông qua việc sử dụng Google Ads của phần mềm OpenOffice tại Canada.

OpenOffice là một bộ phần mềm văn pḥng mă nguồn mở, hiện thuộc về nền tảng Apache và đă bị LibreOffice soán ngôi vào năm 2010.

Tuy nhiên, OpenOffice vẫn có số lượng tải xuống hàng ngày đáng kể từ những người dùng muốn t́m kiếm một phần mềm chỉnh sửa tài liệu và bảng tính miễn phí. Các chủ sở hữu Mars Stealer đă không sử dụng phần mềm phổ biến hơn là LibreOffice để phát tán v́ có thể sẽ bị gỡ xuống nhanh hơn do có nhiều báo cáo.

Trên thực tế, tŕnh cài đặt của OpenOffice trên trang web giả mạo là một tệp thực thi Mars Stealer với bộ mă hóa Babadeda hoặc bộ tải Autoit, v́ vậy các nạn nhân vô t́nh đă tự lây nhiễm cho ḿnh.

https://www.intermati.com/forum/attachment.php?attac hmentid=2048677&stc=1&d=1651660200
Phần mềm độc hại ẩn nấp trong phần mềm văn pḥng được quảng cáo trên Google Ads (Ảnh: bleepingcomputer)

PC nhiễm mă độc sẽ bị một Trojan đánh cắp nhiều dữ liệu cá nhân, nén trong một tệp zip và được tải lên máy chủ chỉ huy của các tội phạm mạng.

Thông tin bị đánh cắp do Mars Stealer chứa dữ liệu tự động điền của tŕnh duyệt, dữ liệu tiện ích mở rộng tŕnh duyệt, thẻ tín dụng, địa chỉ IP, mă quốc gia và múi giờ.

V́ kẻ sử dụng Mars Stealer đă tự lây nhiễm bản sao của nó trong quá tŕnh gỡ lỗi nên thông tin của chúng cũng bị lộ.

Sai lầm này cho phép các nhà nghiên cứu phát hiện ra nhiều thông tin về chiến dịch phát tán Mars Stealer thông qua OpenOffice như: kẻ đứng sau là một người nói tiếng Nga, tài khoản bị đánh cắp có tên GitLab là tài khoản dùng để thanh toán cho Google Ads, v.v.

Mối đe dọa đối với tiền điện tử
Mars Stealer là một mối đe dọa được quảng bá trên 47 trang các web đen và các diễn đàn hack, Telegram và các kênh phân phối như gói bẻ khóa.

Chuyên gia của Morphisec cho biết những kẻ đánh cắp thông tin này đang tập trung nhiều vào tiền điện tử.

Các ví bị tấn công và đánh cắp nhiều nhất được phát hiện là MetaMask, tiếp theo là ví Coinbase, ví Binance và ví Math, tất cả đều là các ví hot để quản lư tiền điện tử.

Để bảo vệ khỏi những kẻ ăn cắp thông tin, hăy đảm bảo rằng bạn luôn truy cập vào các trang web chính thức chứ không phải kết quả của Google Ad và luôn quét các tệp đă tải xuống bằng các phần mềm bảo vệ trước khi khởi chạy.

VietBF @ Sưu tầm