Nhóm tin tặc được cho là từ Việt Nam đang nhắm vào các tổ chức tài chính ở châu Á để đánh cắp dữ liệu kinh doanh.
Hacker News dẫn lời nhóm nghiên cứu bảo mật Cisco Talos, thuộc tập đoàn Cisco (Mỹ), rằng một phần mềm độc hại đă được thiết kế để thu thập dữ liệu tài chính ở Ấn Độ, Trung Quốc, Hàn Quốc, Bangladesh, Pakistan, Indonesia và Việt Nam từ tháng 5/2023 đến nay.
Cisco Talos gọi chiến dịch này là CoralRaider và cho biết: "Nhóm tập trung vào thông tin xác thực, dữ liệu tài chính và tài khoản mạng xă hội của nạn nhân, bao gồm cả tài khoản doanh nghiệp và quảng cáo".
Hacker dùng RotBot, một biến thể tùy chỉnh của Quasar RAT và XClient, để thực hiện các vụ tấn công. Nhóm dùng nhiều công cụ khác nhau, kết hợp cả trojan truy cập từ xa và một số phần mềm độc hại khác như AsyncRAT, NetSupport RAT, Rhadamanthys. Ngoài ra, tin tặc c̣n sử dụng nhiều phần mềm chuyên đánh cắp dữ liệu như Ducktail, NodeStealer và VietCredCare.
Thông tin bị đánh cắp được thu thập qua Telegram sau đó giao dịch trên thị trường ngầm để kiếm lợi bất hợp pháp. "Dựa trên thông điệp trong các kênh chat Telegram, tùy chọn ngôn ngữ và cách đặt tên cho bot, chuỗi PDB (tŕnh gỡ lỗi), những từ khóa tiếng Việt được mă hóa cứng trong tệp tin, có thể tin tặc khai thác CoralRaider đến từ Việt Nam", Cisco Talos phân tích.
Minh họa người dùng ngồi trước máy tính với những ḍng mă nhị phân và chữ hacker phía sau. Ảnh: Reuters
Cuộc tấn công thường bắt đầu từ việc chiếm quyền quản lư tài khoản Facebook, sau đó đổi tên, sửa giao diện mạo danh các chatbot AI nổi tiếng của Google, OpenAI và Midjourney. Tin tặc thậm chí chạy quảng cáo để tiếp cận nạn nhân, lừa người dùng đến những trang web giả mạo. Một tài khoản giả mạo Midjourney từng có 1,2 triệu người theo dơi trước khi bị gỡ xuống vào giữa năm 2023.
Các chuyên gia đă mô phỏng lại một cuộc tấn công, bắt đầu từ tệp chứa mă độc được mở. Tin tặc sẽ cài tệp ứng dụng HTML (HTA) và chiếm quyền điều khiển máy chủ của nạn nhân. Từ đó tập lệnh Visual Basic được nhúng vào máy tính. Sau đó, tập lệnh tiếp tục giải mă và thực thi tuần tự ba tập lệnh PowerShell để phá vỡ các lớp bảo vệ trên máy nạn nhân. Các thông báo ứng dụng và Windows bị vô hiệu hóa. Dữ liệu bị đánh cắp và chạy RotBot.
RotBot được cấu h́nh để liên hệ với bot Telegram và chạy phần mềm độc hại XClient trong bộ nhớ. Cuối cùng, thông tin cookie bị đánh cắp. Các thông tin bảo mật, xác thực trên tŕnh duyệt web như Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox và Opera bị thu thập. XClient cũng được thiết kế để lấy dữ liệu từ tài khoản Facebook, Instagram, TikTok và YouTube của nạn nhân. Mă độc c̣n thu thập thông tin chi tiết về các phương thức thanh toán và quyền liên quan đến tài khoản quảng cáo, kinh doanh trên Facebook của họ.
Công ty an ninh mạng Romania cho biết : "Các chiến dịch quảng cáo độc hại có phạm vi tiếp cận rất lớn thông qua hệ thống quảng cáo của Meta. Từ đó tin tặc tích cực tiếp cận nạn nhân ở châu Âu và các nơi khác, bên cạnh các quốc gia châu Á".
VietBF@sưu tập