Tội phạm mạng khai thác mã nguồn mở để tạo ra các tấn công

Phiên bản mới được rao bán trên mạng tội phạm ngầm với giá 59 USD/tháng, 360 USD/năm, 540 USD cho đăng ký trọn đời.

Nhà nghiên cứu Edmund Brumaghin của Cisco Talos cho biết: “Kẻ đánh cắp có thể thu thập và lọc thông tin nhạy cảm, đồng thời sử dụng API Telegram để gửi dữ liệu bị đánh cắp cho những kẻ tấn công”.

Typhon lần đầu tiên được Cyble ghi lại vào tháng 8/2022, được mô tả chi tiết vô số tính năng của nó, bao gồm chiếm quyền điều khiển nội dung khay nhớ tạm, chụp ảnh màn hình, ghi lại các lần nhấn phím và đánh cắp dữ liệu từ ví điện tử, ứng dụng nhắn tin, FTP, VPN, trình duyệt và trò chơi.

Dựa trên một phần mềm độc hại đánh cắp khác có tên là Prynt Stealer, Typhon cũng có khả năng cung cấp công cụ khai thác tiền điện tử XMRig. Hồi tháng 11/2022, bộ phận 42 của Palo Alto Networks Unit 42 đã phát hiện được một phiên bản cập nhật có tên là Typhon Reborn.

Bộ phận này cho biết: “Phiên bản mới này đã tăng cường các kỹ thuật chống phân tích và nó đã được sửa đổi để cải thiện các tính năng đánh cắp và chiếm đoạt tệp tin” đồng thời loại bỏ các tính năng hiện có như keylogging (trình theo dõi thao tác bàn phím) và khai thác tiền điện tử nhằm giảm cơ hội bị phát hiện.

Theo Cisco Talos, biến thể V2 mới nhất đã được đưa ra vào ngày 31/1/2023 trên diễn đàn web đen XSS bằng tiếng Nga.

Tác giả phần mềm độc hại này cho biết: “Typhon Reborn là một phiên bản được cải tiến và tái cấu trúc mạnh mẽ của Typhon Stealer cũ và không ổn định trước đó”.

Giống như các phần mềm độc hại khác, V2 đi kèm với các tùy chọn để tránh lây nhiễm các hệ thống được đặt tại các quốc gia thuộc cộng đồng các quốc gia Độc lập (CIS). Tuy nhiên, Ukraine và Georgia lại không nằm trong danh sách đó.

Bên cạnh việc kết hợp nhiều tính năng kiểm tra chống phân tích và chống ảo hóa, Typhon Reborn V2 loại bỏ các tính năng liên tục của nó, thay vào đó là tự chấm dứt sau khi trích xuất dữ liệu.

Cuối cùng, phần mềm độc hại truyền dữ liệu đã thu thập được trong một kho lưu trữ nén qua HTTPS bằng cách sử dụng API Telegram, khẳng định việc tiếp tục lạm dụng nền tảng nhắn tin.

Brumaghin cho biết: “Một khi dữ liệu đã được truyền thành công tới kẻ tấn công, kho lưu trữ sẽ bị xóa khỏi hệ thống bị lây nhiễm. Phần mềm độc hại sau đó ra lệnh [chức năng tự xóa] để chấm dứt thực thi."

Những phát hiện được đưa ra khi Cyble tiết lộ một phần mềm độc hại đánh cắp dựa trên Python mới có tên Creal nhắm mục tiêu đến người dùng tiền điện tử thông qua các trang web lừa đảo, bắt chước các dịch vụ khai thác tiền điện tử hợp pháp như Kryptex.

Phần mềm độc hại này giống Typhon Reborn ở chỗ nó được trang bị để hút các cookie và mật khẩu từ những trình duyệt web dựa trên Chromium cũng như dữ liệu từ các ứng dụng nhắn tin nhanh, trò chơi và ví tiền điện tử.

Điều này cho thấy, mã nguồn của phần mềm độc hại có sẵn trên GitHub, do đó các tác nhân đe dọa khác có thể thay đổi phần mềm độc hại cho phù hợp với nhu cầu của chúng và biến nó thành một mối đe dọa tiềm ẩn.

Theo Cyble: "Creal Stealer có khả năng đánh cắp dữ liệu bằng cách sử dụng các tính năng webhook của Discord và nhiều nền tảng lưu trữ và chia sẻ như Anonfiles và Gofile. Xu hướng sử dụng mã nguồn mở trong phần mềm độc hại đang được tội phạm mạng gia tăng sử dụng, vì nó cho phép chúng tạo ra các cuộc tấn công tinh vi và tùy chỉnh với chi phí tối thiểu"./.