Hacker Việt+ bị nghi đánh cắp dữ liệu tài chính ở châu Á

[goodidea]

Nhóm tin tặc được cho là từ Việt Nam đang nhắm vào các tổ chức tài chính ở châu Á để đánh cắp dữ liệu kinh doanh.

Hacker News dẫn lời nhóm nghiên cứu bảo mật Cisco Talos, thuộc tập đoàn Cisco (Mỹ), rằng một phần mềm độc hại đã được thiết kế để thu thập dữ liệu tài chính ở Ấn Độ, Trung Quốc, Hàn Quốc, Bangladesh, Pakistan, Indonesia và Việt Nam từ tháng 5/2023 đến nay.

Cisco Talos gọi chiến dịch này là CoralRaider và cho biết: "Nhóm tập trung vào thông tin xác thực, dữ liệu tài chính và tài khoản mạng xã hội của nạn nhân, bao gồm cả tài khoản doanh nghiệp và quảng cáo".

Hacker dùng RotBot, một biến thể tùy chỉnh của Quasar RAT và XClient, để thực hiện các vụ tấn công. Nhóm dùng nhiều công cụ khác nhau, kết hợp cả trojan truy cập từ xa và một số phần mềm độc hại khác như AsyncRAT, NetSupport RAT, Rhadamanthys. Ngoài ra, tin tặc còn sử dụng nhiều phần mềm chuyên đánh cắp dữ liệu như Ducktail, NodeStealer và VietCredCare.

Thông tin bị đánh cắp được thu thập qua Telegram sau đó giao dịch trên thị trường ngầm để kiếm lợi bất hợp pháp. "Dựa trên thông điệp trong các kênh chat Telegram, tùy chọn ngôn ngữ và cách đặt tên cho bot, chuỗi PDB (trình gỡ lỗi), những từ khóa tiếng Việt được mã hóa cứng trong tệp tin, có thể tin tặc khai thác CoralRaider đến từ Việt Nam", Cisco Talos phân tích.


Minh họa người dùng ngồi trước máy tính với những dòng mã nhị phân và chữ hacker phía sau. Ảnh: Reuters

Cuộc tấn công thường bắt đầu từ việc chiếm quyền quản lý tài khoản Facebook, sau đó đổi tên, sửa giao diện mạo danh các chatbot AI nổi tiếng của Google, OpenAI và Midjourney. Tin tặc thậm chí chạy quảng cáo để tiếp cận nạn nhân, lừa người dùng đến những trang web giả mạo. Một tài khoản giả mạo Midjourney từng có 1,2 triệu người theo dõi trước khi bị gỡ xuống vào giữa năm 2023.

Các chuyên gia đã mô phỏng lại một cuộc tấn công, bắt đầu từ tệp chứa mã độc được mở. Tin tặc sẽ cài tệp ứng dụng HTML (HTA) và chiếm quyền điều khiển máy chủ của nạn nhân. Từ đó tập lệnh Visual Basic được nhúng vào máy tính. Sau đó, tập lệnh tiếp tục giải mã và thực thi tuần tự ba tập lệnh PowerShell để phá vỡ các lớp bảo vệ trên máy nạn nhân. Các thông báo ứng dụng và Windows bị vô hiệu hóa. Dữ liệu bị đánh cắp và chạy RotBot.

RotBot được cấu hình để liên hệ với bot Telegram và chạy phần mềm độc hại XClient trong bộ nhớ. Cuối cùng, thông tin cookie bị đánh cắp. Các thông tin bảo mật, xác thực trên trình duyệt web như Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox và Opera bị thu thập. XClient cũng được thiết kế để lấy dữ liệu từ tài khoản Facebook, Instagram, TikTok và YouTube của nạn nhân. Mã độc còn thu thập thông tin chi tiết về các phương thức thanh toán và quyền liên quan đến tài khoản quảng cáo, kinh doanh trên Facebook của họ.

Công ty an ninh mạng Romania cho biết : "Các chiến dịch quảng cáo độc hại có phạm vi tiếp cận rất lớn thông qua hệ thống quảng cáo của Meta. Từ đó tin tặc tích cực tiếp cận nạn nhân ở châu Âu và các nơi khác, bên cạnh các quốc gia châu Á".

VietBF@sưu tập

Ngày 5/4, BBC Tiếng Việt cho hay “Tin tặc từ Việt Nam tấn công các quốc gia châu Á, an ninh mạng tiếp tục báo động”.

Theo đó, tin tặc xuất phát từ Việt Nam đang sử dụng phần mềm độc hại để tấn công các nạn nhân nhằm trục lợi tài chính. Cùng lúc, các tổ chức và cá nhân ở Việt Nam cũng trở thành nạn nhân.

BBC dẫn đánh giá của Cisco Talos – nhóm nghiên cứu về an ninh mạng thuộc Cisco Systems, Tập đoàn đa quốc gia của Mỹ về công nghệ truyền thông kỹ thuật số, cho biết, hôm 4/4, một nhóm tin tặc có tên CoralRaider bị nghi ngờ sử dụng các phần mềm độc hại để nhằm vào các nạn nhân ở một vài quốc gia khu vực châu Á và Đông Nam Á.

Các quốc gia có nạn nhân bị tấn công bao gồm Việt Nam, Trung Quốc, Hàn Quốc, Ấn Độ, Bangladesh, Indonesia và Pakistan.

Theo BBC, CoralRaider chủ yếu đánh cắp thông tin đăng nhập, dữ liệu tài chính và tài khoản mạng xã hội nhằm trục lợi tài chính.

Cisco Talos đánh giá, nhóm này có địa chỉ IP ở Hà Nội, Việt Nam, có tiếng Việt trong tên phần mềm và tin nhắn của thành viên nhóm. Ít nhất, nhóm này đã bắt đầu hoạt động từ tháng 5/2023.

Cisco Talos phát hiện, 2 nhóm chat Telegram sử dụng tên tiếng Việt là “Kiếm tiền từ Facebook” và “Mua Bán Scan Mini”, là nơi nhiều hoạt động trao đổi diễn ra, bao gồm cả dữ liệu cá nhân của các nạn nhân.

BBC cho biết, đây không phải lần đầu tiên có những vụ tấn công mạng nhằm trục lợi tài chính, mà thủ phạm được xác định là từ Việt Nam.

Cuối tháng 2/2024, nhà cung cấp công nghệ an ninh mạng Group-IB từng có một bài viết về VietCredCare.

VietCredCare là một phần mềm đánh cắp thông tin, được một nhóm người Việt Nam quản lý và được lưu hành ít nhất là từ tháng 8/2022, theo Group-IB.

Nạn nhân chủ yếu là những người quản lý hồ sơ của các doanh nghiệp và tổ chức lớn đến từ 44 tỉnh thành của Việt Nam.

Vẫn theo BBC, thông tin của Cisco Talos và Group-IB về các nhóm tin tặc xuất phát từ Việt Nam, được đưa ra trong bối cảnh an ninh mạng trở thành một chủ đề nóng hổi. Một số công ty Việt Nam cùng với nhiều cá nhân, tổ chức khác đã bị tấn công mạng, gây ra sự gián đoạn hoạt động hoặc thiệt hại về tài chính trong thời gian gần đây.

BBC liệt kê một số nạn nhân của các cuộc tấn công mạng, như:

Website của Cảnh sát Giao thông Việt Nam bị tấn công vào tháng 2/2024.

Fanpage Facebook của Công an Hà Nội bị tấn công vào tháng 8/2023.

Công ty VnDirect bị tấn công ngày 24/3/2024.

Công ty dầu khí PVOIL bị tấn công ngày 2/4.

và nhiều doanh nghiệp khác

Bộ Công an Việt Nam hiện đang điều tra vụ việc.

BBC nhận xét, các vụ tấn công mạng nói trên cho thấy, cảnh báo của các chuyên gia công nghệ an ninh mạng rằng, doanh nghiệp Việt Nam nhìn chung có năng lực thấp trong việc chống lại các rủi ro dạng này, là có cơ sở.

BBC cũng cho hay, chiều 5/4, tại tọa đàm “Phòng chống tấn công mã hóa dữ liệu tống tiền” do Câu lạc bộ Nhà báo công nghệ thông tin Việt Nam phối hợp cùng Hiệp hội An ninh mạng Quốc gia (Bộ Công an) tổ chức, ông Lê Xuân Thủy – Giám đốc Trung tâm An ninh mạng Quốc gia, đánh giá rằng, các doanh nghiệp Việt Nam chưa “quan tâm đúng mức” tới các vấn đề an ninh mạng.

Theo ông, các doanh nghiệp vẫn “lúng túng” trong cách xử lý và “chậm trễ trong việc báo [cáo] cơ quan chức năng”.

Dù sự cố được khắc phục, nguyên nhân lại không được xác định chính xác. Điều này khiến gia tăng nguy cơ tái diễn các cuộc tấn công, ông Thủy đánh giá.

Bên cạnh đó, BBC dẫn kết quả từ Dự án Chống Lừa Đảo, được chuyên gia an ninh mạng Ngô Minh Hiếu (Hiếu PC) cùng nhóm chuyên gia vừa công bố ngày 5/4, cho biết, trong 3 tháng đầu năm, trang chongluadao.vn đã nhận được tổng cộng 29.251 báo cáo lừa đảo.

Một vài hình thức tấn công được biết đến gần đây, là ăn cắp tài khoản Facebook hoặc kênh YouTube. Theo đó, một số kênh YouTube lớn và quen thuộc với nhiều khán giả người Việt cũng bị tấn công, như kênh “Mixi Gaming” của ông Phùng Thanh Độ hay kênh “Quang Linh Vlogs – Cuộc Sống ở Châu Phi”.

Xuân Hưng