Một loại virus mới đang tấn công máy Mac. Được gọi là FrigidStealer, phần mềm độc hại này vừa được các nhà nghiên cứu an ninh mạng tại ProofPoint xác định. Phần mềm này được lập trình để đánh cắp thông tin nhạy cảm từ các máy tính bị nhiễm, với mục đích duy nhất là kiếm tiền.
Để đánh bẫy người dùng macOS, kẻ tấn công sử dụng một chiến thuật rất phổ biến: bản cập nhật giả mạo. Tin tặc sẽ khuyến khích mục tiêu cài đặt bản cập nhật trình duyệt mới nhất thông qua cửa sổ bật lên. Bản cập nhật giả mạo này thực chất ẩn phần mềm độc hại FrigidStealer. Nếu người dùng nhấp vào Cập nhật, họ sẽ mở cửa máy tính của mình cho virus. Trên thực tế, cuộc tấn công diễn ra theo nhiều giai đoạn.
Đầu tiên, bản cập nhật giả sẽ đưa tệp DMG vào máy. Bạn sẽ cần phải nhấp vào tệp này, được trình bày dưới dạng tệp cập nhật, để triển khai tệp DMG. Người dùng phải tự khởi tạo quá trình tải xuống bằng cách nhấp chuột phải vào tệp và chọn “Mở”. Sau đó, họ sẽ phải nhập mật khẩu để vượt qua Gatekeeper, cơ chế bảo vệ người dùng khỏi vi-rút và các ứng dụng không an toàn. Trước khi cài đặt, ứng dụng sẽ kiểm tra xem ứng dụng có đến từ nguồn đáng tin cậy và nhà phát triển được Apple công nhận hay không.
Đầu tiên, tin tặc sẽ xâm nhập vào các trang web. Trên thực tế, chúng sẽ chèn mã JavaScript độc hại vào mã HTML của trang web. Khi bị xâm phạm, trang web sẽ hiển thị thông báo giả mạo cho biết cần phải cài đặt bản cập nhật trình duyệt web mới nhất ngay lập tức. Cảnh báo có vẻ như đến từ Google Chrome hoặc Safari, tùy thuộc vào trình duyệt của nạn nhân.
Để chọn nạn nhân, tội phạm mạng sử dụng TDS (Hệ thống phân phối lưu lượng), một công cụ được sử dụng để chuyển hướng lưu lượng truy cập internet dựa trên các tiêu chí cụ thể, chẳng hạn như vị trí địa lý, loại thiết bị hoặc hành vi của người dùng. Dựa trên thông tin này, tin tặc sẽ loại trừ một số mục tiêu nhất định và ưu tiên những mục tiêu khác. Hệ điều hành và trình duyệt chủ yếu quyết định xem người dùng Internet có nhìn thấy cửa sổ độc hại hay không.
Sau khi triển khai, FrigidStealer sẽ thu thập cookie, thông tin đăng nhập và tệp mật khẩu được lưu trong Safari hoặc Chrome. Sau đó, hắn bắt đầu tìm kiếm thông tin có thể được sử dụng để cướp tiền điện tử của người nắm giữ, chẳng hạn như khóa riêng tư. Với những khóa này, có thể rút toàn bộ nội dung của ví trên blockchain. Virus sẽ tìm kiếm trong tất cả các thư mục trên máy tính, ứng dụng Ghi chú, tệp văn bản và thậm chí cả bảng tính với hy vọng tìm ra khóa. Dữ liệu bị đánh cắp sau đó đã bị rò rỉ.
Đứng sau vụ tấn công mạng này là hai băng nhóm tin tặc, TA2726 và TA2727. Hai nhóm đã chung sức chung sức cho hoạt động này. Nhóm đầu tiên chịu trách nhiệm đưa mã độc vào các trang web, trong khi nhóm thứ hai tập trung vào việc phát triển virus FrigidStealer.
Các nhà nghiên cứu lưu ý rằng cả hai nhóm đều nhắm vào máy tính Windows và điện thoại thông minh Android. Trong những trường hợp này, chúng khai thác các loại virus phổ biến như Lumma Stealer, DeerStealer hoặc Marcher, một loại Trojan ngân hàng. Chiến dịch này đang diễn ra ở nhiều quốc gia, bao gồm cả Pháp. Do đó, chúng tôi khuyên bạn nên thận trọng và cảnh giác với các cửa sổ bật lên xuất hiện trên web.
Nguồn: ProofPoint
Bản cập nhật giả mạo đánh bẫy người dùng máy Mac
Để đánh bẫy người dùng macOS, kẻ tấn công sử dụng một chiến thuật rất phổ biến: bản cập nhật giả mạo. Tin tặc sẽ khuyến khích mục tiêu cài đặt bản cập nhật trình duyệt mới nhất thông qua cửa sổ bật lên. Bản cập nhật giả mạo này thực chất ẩn phần mềm độc hại FrigidStealer. Nếu người dùng nhấp vào Cập nhật, họ sẽ mở cửa máy tính của mình cho virus. Trên thực tế, cuộc tấn công diễn ra theo nhiều giai đoạn.
Đầu tiên, bản cập nhật giả sẽ đưa tệp DMG vào máy. Bạn sẽ cần phải nhấp vào tệp này, được trình bày dưới dạng tệp cập nhật, để triển khai tệp DMG. Người dùng phải tự khởi tạo quá trình tải xuống bằng cách nhấp chuột phải vào tệp và chọn “Mở”. Sau đó, họ sẽ phải nhập mật khẩu để vượt qua Gatekeeper, cơ chế bảo vệ người dùng khỏi vi-rút và các ứng dụng không an toàn. Trước khi cài đặt, ứng dụng sẽ kiểm tra xem ứng dụng có đến từ nguồn đáng tin cậy và nhà phát triển được Apple công nhận hay không.
Đầu tiên, tin tặc sẽ xâm nhập vào các trang web. Trên thực tế, chúng sẽ chèn mã JavaScript độc hại vào mã HTML của trang web. Khi bị xâm phạm, trang web sẽ hiển thị thông báo giả mạo cho biết cần phải cài đặt bản cập nhật trình duyệt web mới nhất ngay lập tức. Cảnh báo có vẻ như đến từ Google Chrome hoặc Safari, tùy thuộc vào trình duyệt của nạn nhân.
Để chọn nạn nhân, tội phạm mạng sử dụng TDS (Hệ thống phân phối lưu lượng), một công cụ được sử dụng để chuyển hướng lưu lượng truy cập internet dựa trên các tiêu chí cụ thể, chẳng hạn như vị trí địa lý, loại thiết bị hoặc hành vi của người dùng. Dựa trên thông tin này, tin tặc sẽ loại trừ một số mục tiêu nhất định và ưu tiên những mục tiêu khác. Hệ điều hành và trình duyệt chủ yếu quyết định xem người dùng Internet có nhìn thấy cửa sổ độc hại hay không.
Kẻ đánh cắp tiền điện tử
Sau khi triển khai, FrigidStealer sẽ thu thập cookie, thông tin đăng nhập và tệp mật khẩu được lưu trong Safari hoặc Chrome. Sau đó, hắn bắt đầu tìm kiếm thông tin có thể được sử dụng để cướp tiền điện tử của người nắm giữ, chẳng hạn như khóa riêng tư. Với những khóa này, có thể rút toàn bộ nội dung của ví trên blockchain. Virus sẽ tìm kiếm trong tất cả các thư mục trên máy tính, ứng dụng Ghi chú, tệp văn bản và thậm chí cả bảng tính với hy vọng tìm ra khóa. Dữ liệu bị đánh cắp sau đó đã bị rò rỉ.
Hai băng nhóm đứng sau vụ tấn công
Đứng sau vụ tấn công mạng này là hai băng nhóm tin tặc, TA2726 và TA2727. Hai nhóm đã chung sức chung sức cho hoạt động này. Nhóm đầu tiên chịu trách nhiệm đưa mã độc vào các trang web, trong khi nhóm thứ hai tập trung vào việc phát triển virus FrigidStealer.
Các nhà nghiên cứu lưu ý rằng cả hai nhóm đều nhắm vào máy tính Windows và điện thoại thông minh Android. Trong những trường hợp này, chúng khai thác các loại virus phổ biến như Lumma Stealer, DeerStealer hoặc Marcher, một loại Trojan ngân hàng. Chiến dịch này đang diễn ra ở nhiều quốc gia, bao gồm cả Pháp. Do đó, chúng tôi khuyên bạn nên thận trọng và cảnh giác với các cửa sổ bật lên xuất hiện trên web.
Nguồn: ProofPoint