Kaspersky Phát Hiện Bot Đánh Cắp Tiền Điện Tử Nguy Hiểm Nhắm Đến Chủ Sở Hữu Ví

4 giờ trước đây
3 phút đọc
2 lượt xem

Cảnh Báo Về Phần Mềm Độc Hại OkoBot

Các chuyên gia từ Nhóm Nghiên cứu và Phân tích Toàn cầu (GReAT) của Kaspersky đã cảnh báo rằng hàng trăm người dùng ở 25 quốc gia đang có nguy cơ bị đánh cắp tài sản do phần mềm độc hại OkoBot nhắm mục tiêu vào những người sở hữu tiền điện tử. Phần mềm này đã bước vào giai đoạn hoạt động tích cực, và các hacker đã thay đổi chiến thuật, hiện đang nhắm đến những người tin rằng họ đã được bảo vệ hoàn toàn.

Chiến Thuật Tấn Công

Theo báo cáo mới, phần mềm độc hại này đánh cắp tiền bằng cách chặn các chức năng của các ứng dụng chính thức như Ledger Live, Ledger WalletTrezor Suite, đồng thời hiển thị một cửa sổ xác minh giả. Để tránh rơi vào trò lừa đảo này, người dùng được khuyên nên tuân thủ nghiêm ngặt ba quy tắc bảo mật chính.

Trong chiến dịch này, những kẻ tấn công cố tình nhắm đến các chuyên gia CNTT và các nhà phát triển phần mềm.

Phương Thức Lây Nhiễm

Sự xâm nhập ban đầu xảy ra khi các hacker ngụy trang phần mềm độc hại dưới dạng các công cụ làm việc phổ biến và phân phối phần mềm bị nhiễm qua GitHub. Cụ thể, các nhà nghiên cứu đã phát hiện phần mềm độc hại bên trong một trình cài đặt giả mạo Microsoft SQL Server Management Studio (SSMS).

Đồng thời, những kẻ tấn công đang sử dụng các cuộc tấn công ClickFix tinh vi, một kỹ thuật xã hội mà trong đó người dùng bị thuyết phục sao chép và chạy mã độc hại trong một terminal dưới cái cớ sửa lỗi trình duyệt bất ngờ.

Phạm Vi Tấn Công

Theo Kaspersky GReAT, do phần mềm độc hại sử dụng cấu trúc mô-đun bao gồm hơn 20 thành phần, bao gồm Rilide infostealerOkoSpyware module giám sát, phạm vi địa lý của các cuộc tấn công dự kiến sẽ mở rộng ra ngoài các quốc gia hiện đang báo cáo số lượng nhiễm bệnh cao nhất, dẫn đầu là Brazil, Việt Nam, Canada, Mexico và Thổ Nhĩ Kỳ.

Các tiện ích mở rộng ẩn mới cho các trình duyệt dựa trên Chromium, bao gồm ChromeEdge, cũng được dự đoán sẽ xuất hiện. Phần mềm độc hại có thể hoàn toàn xóa các tiện ích mở rộng này khỏi danh sách các tiện ích đã cài đặt, khiến người dùng không nhận thức được sự hiện diện của chúng.

Giai Đoạn Cuối Của Cuộc Tấn Công

Giai đoạn cuối có thể liên quan đến việc bán quy mô lớn quyền truy cập vào máy tính của các nạn nhân. Sau khi thiết lập sự tồn tại trong một hệ thống, OkoBot bí mật tạo một tài khoản quản trị viên mới và mở một đường hầm SSH vĩnh viễn để điều khiển từ xa qua RDP.