An toàn thông tin

Tội phạm mạng khai thác mã nguồn mở để tạo ra các tấn công

Hạnh Tâm 07:16 06/04/2023

Tác nhân đe dọa phía sau phần mềm độc hại đánh cắp thông tin Typhon Reborn đã xuất hiện trở lại với phiên bản cập nhật (V2) có các gói tính năng được cải tiến để tránh bị phát hiện và chống phân tích.

Phiên bản mới được rao bán trên mạng tội phạm ngầm với giá 59 USD/tháng, 360 USD/năm, 540 USD cho đăng ký trọn đời.

Nhà nghiên cứu Edmund Brumaghin của Cisco Talos cho biết: “Kẻ đánh cắp có thể thu thập và lọc thông tin nhạy cảm, đồng thời sử dụng API Telegram để gửi dữ liệu bị đánh cắp cho những kẻ tấn công”.

a3.png

Typhon lần đầu tiên được Cyble ghi lại vào tháng 8/2022, được mô tả chi tiết vô số tính năng của nó, bao gồm chiếm quyền điều khiển nội dung khay nhớ tạm, chụp ảnh màn hình, ghi lại các lần nhấn phím và đánh cắp dữ liệu từ ví điện tử, ứng dụng nhắn tin, FTP, VPN, trình duyệt và trò chơi.

Dựa trên một phần mềm độc hại đánh cắp khác có tên là Prynt Stealer, Typhon cũng có khả năng cung cấp công cụ khai thác tiền điện tử XMRig. Hồi tháng 11/2022, bộ phận 42 của Palo Alto Networks Unit 42 đã phát hiện được một phiên bản cập nhật có tên là Typhon Reborn.

Bộ phận này cho biết: “Phiên bản mới này đã tăng cường các kỹ thuật chống phân tích và nó đã được sửa đổi để cải thiện các tính năng đánh cắp và chiếm đoạt tệp tin” đồng thời loại bỏ các tính năng hiện có như keylogging (trình theo dõi thao tác bàn phím) và khai thác tiền điện tử nhằm giảm cơ hội bị phát hiện.

Theo Cisco Talos, biến thể V2 mới nhất đã được đưa ra vào ngày 31/1/2023 trên diễn đàn web đen XSS bằng tiếng Nga.

Tác giả phần mềm độc hại này cho biết: “Typhon Reborn là một phiên bản được cải tiến và tái cấu trúc mạnh mẽ của Typhon Stealer cũ và không ổn định trước đó”.

Giống như các phần mềm độc hại khác, V2 đi kèm với các tùy chọn để tránh lây nhiễm các hệ thống được đặt tại các quốc gia thuộc cộng đồng các quốc gia Độc lập (CIS). Tuy nhiên, Ukraine và Georgia lại không nằm trong danh sách đó.

Bên cạnh việc kết hợp nhiều tính năng kiểm tra chống phân tích và chống ảo hóa, Typhon Reborn V2 loại bỏ các tính năng liên tục của nó, thay vào đó là tự chấm dứt sau khi trích xuất dữ liệu.

a4.png

Cuối cùng, phần mềm độc hại truyền dữ liệu đã thu thập được trong một kho lưu trữ nén qua HTTPS bằng cách sử dụng API Telegram, khẳng định việc tiếp tục lạm dụng nền tảng nhắn tin.

Brumaghin cho biết: “Một khi dữ liệu đã được truyền thành công tới kẻ tấn công, kho lưu trữ sẽ bị xóa khỏi hệ thống bị lây nhiễm. Phần mềm độc hại sau đó ra lệnh [chức năng tự xóa] để chấm dứt thực thi."

Những phát hiện được đưa ra khi Cyble tiết lộ một phần mềm độc hại đánh cắp dựa trên Python mới có tên Creal nhắm mục tiêu đến người dùng tiền điện tử thông qua các trang web lừa đảo, bắt chước các dịch vụ khai thác tiền điện tử hợp pháp như Kryptex.

Phần mềm độc hại này giống Typhon Reborn ở chỗ nó được trang bị để hút các cookie và mật khẩu từ những trình duyệt web dựa trên Chromium cũng như dữ liệu từ các ứng dụng nhắn tin nhanh, trò chơi và ví tiền điện tử.

Điều này cho thấy, mã nguồn của phần mềm độc hại có sẵn trên GitHub, do đó các tác nhân đe dọa khác có thể thay đổi phần mềm độc hại cho phù hợp với nhu cầu của chúng và biến nó thành một mối đe dọa tiềm ẩn.

Theo Cyble: "Creal Stealer có khả năng đánh cắp dữ liệu bằng cách sử dụng các tính năng webhook của Discord và nhiều nền tảng lưu trữ và chia sẻ như Anonfiles và Gofile. Xu hướng sử dụng mã nguồn mở trong phần mềm độc hại đang được tội phạm mạng gia tăng sử dụng, vì nó cho phép chúng tạo ra các cuộc tấn công tinh vi và tùy chỉnh với chi phí tối thiểu"./.

Bài liên quan
Nổi bật Tạp chí Thông tin & Truyền thông
  • Báo chí quốc tế viết gì về Triển lãm Quốc phòng quốc tế Việt Nam 2024?
    Sự kiện Triển lãm Quốc phòng quốc tế Việt Nam năm 2024 thu hút sự chú ý trong - ngoài nước và cả nhiều cơ quan truyền thông quốc tế.
  • “AI như là một chiếc gương đen”
    Bài báo "AI is the Black Mirror" của Philip Ball cung cấp một cái nhìn chi tiết về trí tuệ nhân tạo (AI) và tác động của nó đến nhận thức con người.
  • Chất lượng thông tin báo chí về kinh tế - Vai trò, yêu cầu thước đo và giải pháp cần có
    Báo chí kinh tế cần là diễn đàn thực thụ cho doanh nghiệp, không chỉ cung cấp thông tin. Thông tin cần chính xác và kịp thời để hỗ trợ doanh nghiệp trong điều chỉnh chiến lược kinh doanh.
  • Những “ngọn đuốc” ở bản
    Ở Tuyên Quang, người có uy tín là những người đi đầu thay đổi nếp nghĩ, cách làm của bà con dân tộc thiểu số (DTTS). Họ như những “ngọn đuốc” đi trước, thắp sáng, lan tỏa tinh thần trách nhiệm, nêu gương với cộng đồng. Gương mẫu, uy tín, những người có uy tín đã và đang góp sức xây dựng bản làng, thôn xóm ngày càng ấm no, giàu mạnh.
  • 5 lý do để tăng cường bảo mật mạng
    Các chương trình an ninh mạng đã phát triển đáng kể trong vài thập kỷ qua. Sự ra đời của điện toán đám mây đã phá vỡ ranh giới an ninh mạng thông thường của của các doanh nghiệp, buộc các tổ chức phải liên tục cập nhật những chiến lược phòng thủ của mình.
Đừng bỏ lỡ
Tội phạm mạng khai thác mã nguồn mở để tạo ra các tấn công
POWERED BY ONECMS - A PRODUCT OF NEKO