SOHA NEWS
BleepingComputer đưa tin, các nhà nghiên cứu tại công ty bảo mật Zscaler có trụ sở tại San Jose, California (Mỹ) vừa phát hiện ra một mã độc đánh cắp thông tin chưa từng được thấy trước đây.
Được viết bằng ngôn ngữ lập trình PHP, mã độc này có khả năng đánh cắp tài khoản Facebook, dữ liệu trình duyệt và thông tin đăng nhập ví tiền điện tử của người dùng (Ảnh minh hoạ: CPO Magazine)
Báo cáo cho biết, mã độc được phát tán bởi chiến dịch lừa đảo Ducktail thế hệ mới. Trước đó, chiến dịch lừa đảo Ducktail được công bố lần đầu bởi các nhà nghiên cứu của WithSecure vào tháng 7/2022.
Theo Zscaler, trong chiến dịch Ducktail "2.0", tin tặc sử dụng một đoạn mã PHP đóng vai trò mã độc đánh cắp thông tin người dùng hệ điều hành Windows.
Để lừa người dùng, mã độc sẽ được tin tặc ngụy trang dưới dạng các tựa game, tệp phụ đề, video 18+ và các ứng dụng văn phòng MS Office đã bẻ khoá. Chúng được phát tán ở định dạng ZIP trên các nền tảng lưu trữ và chia sẻ tệp tin.
Khi người dùng tải về các tệp ZIP được nguỵ trang và giải nén, quá trình cài đặt sẽ diễn ra trong nền. Thời điểm người dùng nhìn thấy cửa sổ hiện lên với thông báo "Checking Application Compatibility" cũng là lúc mã độc đang được bắt đầu cài đặt. Tin tặc sẽ sử dụng cửa sổ thông báo giả mạo này để câu giờ cho quá trình cài đặt được hoàn tất.
Cuối cùng, mã độc sẽ được giải nén vào thư mục %LocalAppData%\Packages\PXT, bao gồm trình thông dịch cục bộ PHP.exe, các script khác nhau được sử dụng để đánh cắp thông tin nạn nhân.
Các dữ liệu được tin tặc nhắm đến bao gồm thông tin chi tiết tài khoản Facebook, dữ liệu nhạy cảm được lưu trữ trong trình duyệt, cookie của trình duyệt, ví tiền điện tử và những dữ liệu cơ bản của hệ thống.
Thư mục chứa mã độc đánh cắp thông tin người dùng (Ảnh: BleepingComputer)
Phương thức tấn công chi tiết của mã độc Ducktail mới (Ảnh: Zscaler)
Ở chiến dịch mới nhất, phạm vi tấn công của Ducktail đã được tin tặc mở rộng. Không còn chỉ nhắm đến những tài khoản có khả năng chạy quảng cáo, mã độc này giờ đây nhắm vào cả những người dùng Facebook thông thường. Khi đã xâm nhập thành công, chúng sẽ thu thập hết các thông tin có giá trị mà nạn nhân lưu trong tài khoản.
Đặc biệt, với các tài khoản doanh nghiệp, mã độc sẽ cố gắng đánh cắp thêm các thông tin như phương thức thanh toán, chu kỳ, số tiền đã chi tiêu, chi tiết chủ sở hữu, trạng thái xác minh, trang sở hữu, địa chỉ PayPal...
Các nhà nghiên cứu tại công ty bảo mật Zscaler khuyến cáo, người dùng nên cẩn thận với các tin nhắn trên LinkedIn và cẩn thận với các tệp được tải về từ Internet. Đồng thời, tránh tải các phần mềm vi phạm bản quyền, crack (bẻ khoá), mod hay hack/cheat (gian lận) game.