Các trang web giả mạo Microsoft Store, Spotify phát tán phần mềm độc hại để ăn cắp thông tin

Những kẻ tấn công đang quảng bá các trang web mạo danh Microsoft Store, Spotify và công cụ chuyển đổi tài liệu trực tuyến nhằm lây nhiễm phần mềm độc hại để lấy cắp thẻ thông tin tín dụng và mật khẩu được lưu trong trình duyệt web.

Công ty an ninh mạng ESET đã phát hiện và cảnh báo người dùng, đề phòng các phần mềm này trong một bài đăng trên Twitter vào ngày 20 tháng 4.

BleepingComputer dẫn lời Jiri Kropac, trưởng phòng thí nghiệm phát hiện các mối đe dọa của ESET, cho hay cuộc tấn công được thực hiện thông qua quảng cáo nhưng “đội lốt” là ứng dụng hợp pháp.

Chẳng hạn, một trong những quảng cáo được sử dụng trong cuộc tấn công này là ứng dụng Cờ vua trực tuyến. Khi nhấp vào quảng cáo, người dùng sẽ được đưa đến trang Microsoft Store giả mạo với ứng dụng “xChess 3” giả và bị tự động tải xuống từ máy chủ Amazon AWS một tệp zip có tên “xChess_v.709.zip” . Thực chất đây là phần mềm độc hại ăn cắp thông tin - Ficker hoặc FickerStealer.

Ứng dụng “xChess 3” giả dẫn người dùng đến trang đích và tự động tải xuống tệp zip chứa phần mềm độc hại.
Ứng dụng “xChess 3” giả dẫn người dùng đến trang đích và tự động tải xuống tệp zip chứa phần mềm độc hại.
Trang Microsoft Store giả chứa phần mềm độc hại Ficker.
Trang Microsoft Store giả chứa phần mềm độc hại Ficker.

Khi truy cập, các trang đích sẽ tự động tải tệp zip chứa phần mềm độc hại Ficker. Sau khi người dùng giải nén tệp và khởi chạy, thay vì mở ra ứng dụng Cờ vua trực tuyến hoặc Spotify, phần mềm độc hại Ficker sẽ chạy và bắt đầu đánh cắp dữ liệu được lưu trên máy tính của họ.

Trang đích chứa ứng dụng Spotify giả.
Trang đích chứa ứng dụng Spotify giả.

Phần mềm độc hại Ficker là gì?

Ficker là một Trojan chuyên đánh cắp thông tin, được phát hành trên các diễn đàn tin tặc tiếng Nga vào tháng 1 khi nhà phát triển bắt đầu cho các kẻ tấn công khác thuê phần mềm độc hại này.

Một bài đăng trên diễn đàn tiếp thị phần mềm Ficker.
Một bài đăng trên diễn đàn tiếp thị phần mềm Ficker.

Trong một bài đăng trên diễn đàn, nhà phát triển mô tả các khả năng của phần mềm độc hại và cho phép các kẻ tấn công thuê phần mềm từ bất kỳ ai từ một 1 đến 6 tháng.

Sử dụng phần mềm độc hại này, các kẻ tấn công có thể đánh cắp thông tin đăng nhập đã lưu trong trình duyệt web, ứng dụng nhắn tin trên PC (Pidgin, Steam, Discord) và ứng dụng FTP của người dùng.

Ngoài việc đánh cắp mật khẩu, nhà phát triển tuyên bố phần mềm độc hại này có thể đánh cắp hơn 15 ví tiền điện tử, tài liệu và ảnh chụp màn hình của các ứng dụng đang hoạt động trên máy tính của nạn nhân.

Thông tin này sau đó được biên dịch thành một tệp zip và truyền trở lại kẻ tấn công, nơi chúng có thể trích xuất dữ liệu và sử dụng cho nhiều mục đích xấu xa khác.

Để đảm bảo an toàn, nạn nhân nên thay đổi mật khẩu các tài khoản trực tuyến ngay lập tức, kiểm tra tường lửa để tìm các cổng đáng ngờ và quét virus máy tính để kiểm tra thêm.

Chủ Nhật, 25/04/2021 17:35
31 👨 444
0 Bình luận
Sắp xếp theo