Nhóm hacker Việt Nam phát tán mã độc ăn cắp thông tin viết bằng Python qua Facebook Messenger.
Vn-Z.vn Ngày 18 tháng 09 năm 2023, Theo thehackernews , trang tin về an ninh mạng này đã đăng tải một bài viết cho biết Nhóm hacker Việt Nam phát tán mã động ăn cắp thông tin viết bằng Python qua Facebook Messenger.
Nội dung bài viết cho rằng cuộc tấn công lừa đảo mới được phát tán qua Facebook Messenger đính kèm theo các tập tin có mã độc . Mã độc này tiếp tục được phán tán bằng rất nhiều tài khoản facebook ảo và cả tài khoản bị hack . Cuộc tấn công nhắm mục tiêu cuối cùng là chiếm quyền kiểm soát tài khoản Doanh nghiệp của các của các con mồi.
Thehackernews viết trích dẫn lại phát biểu của chuyên gia an ninh mạng Oleg Zaytsev của Guardio Labs "Xuất phát từ một nhóm có trụ sở tại Việt Nam, chiến dịch này sử dụng một tập tin đính kèm nén nhỏ gọn chứa một công cụ ăn cắp dựa trên Python mạnh mẽ được triển khai theo một quy trình đa giai đoạn với các phương pháp che dấu đơn giản nhưng hiệu quả,"
Chiến dịch tấn công này, được đặt tên là MrTonyScam, các mục tiêu con mồi sẽ nhận được những tin nhắn hấp dẫn nhằm cố lừa họ nhấp vào tập tin nén RAR và ZIP được đính kèm trong tin nhắn Messenger của Facebook. Các tập tin chữa mã độc có thể triển khai một công cụ giảm tải (dropper) lấy giai đoạn tiếp theo từ kho lưu trữ GitHub hoặc GitLab.
Gói tin này là một tập tin nén khác chứa một tập tin CMD, trong đó chứa tool ăn cắp thông tin cookie được viết bằng Python . Công cụ được che dấu để thu thập tất cả cookie và thông tin đăng nhập từ các trình duyệt web khác nhau và gửi đến một điểm cuối Telegram hoặc Discord do kẻ tấn công điều khiển.
Hacker sử dụng chiến thuật thông minh sau khi ăn cắp được cookie chúng sẽ xóa tất cả cookie khiến cho nạn nhân bị logout tài khoản Facebook và không kịp trở tay, lợi dụng khoảng thời gian này kẻ tấn công sẽ nhanh chóng sử dụng cookie chúng vừa chiếm đoạt được để login tài khoản Facebook, đổi mật khẩu và chiếm toàn quyền tài khoản.
Trang tin này cho biết lý do họ biết nhóm "hacker" này có nguồn gốc từ Việt Nam, là khi các chuyên gia phân tích mã nguồn họ đã thấy được những dòng code có reference tiếng Việt và có cả stealer dành riêng cho Cốc Cốc, một trình duyệt có nhân Chromium phổ biến tại Việt Nam.
Guardio Labs cho biết rằng chiến dịch này có tỷ lệ thành công cao, với ước tính 1 trong 250 nạn nhân bị lây nhiễm chỉ trong 30 ngày qua dù để bị nhiễm mã độc này cần phải yêu con mồi phải tải xuống tập tin hấp dẫn chứa mã độc, giải nén và click vào tập tin đính kèm. Đa số các vụ tấn công xảy ra tại Mỹ, Úc, Canada, Pháp, Đức, Indonesia, Nhật Bản, Nepal, Tây Ban Nha, Philippines và Việt Nam, và nhiều quốc gia khác.
WithSecure và Zscaler ThreatLabz mô tả các chiến dịch này tương tự như Ducktail và Duckport mới chuyên nhắm vào các tài khoản Meta Business và Facebook bằng cách sử dụng các chiến thuật malverposting.
WithSecure nhấn mạnh các yếu tố trong chiến dịch tấn công này cho thấy một mối liên kết giữa các nhân vật đe dọa và có thể xuất hiện một hệ sinh thái tội phạm mạng "hacker Việt Nam" rời rạc tương tự như mô hình dịch vụ RaaS (ransomware-as-a-service). Điều này có thể bao gồm việc chia sẻ công cụ và phương pháp tiến hành (TTPs) giữa các nhóm đe dọa, sự tương đồng trong hạ tầng và khả năng tấn công, cũng như mối quan hệ làm việc tích cực giữa các nhân vật đe dọa.
Mô hình dịch vụ RaaS cho phép các tên tội phạm mua và sử dụng phần mềm tống tiền để thực hiện các cuộc tấn công mà họ không cần phải phát triển hoặc quản lý từ đầu. Nếu mô hình tương tự tồn tại trong hệ sinh thái tội phạm mạng "hacker Việt Nam", nó có thể đề cập đến việc các nhóm đe dọa tại Việt Nam chia sẻ công cụ, tài nguyên và kỹ thuật với nhau, tạo ra một môi trường dịch vụ cho các hoạt động tấn công liên quan đến mạng xã hội như Facebook.
Vn-Z.vn team tổng hợp tham khảo nguồn
Nội dung bài viết cho rằng cuộc tấn công lừa đảo mới được phát tán qua Facebook Messenger đính kèm theo các tập tin có mã độc . Mã độc này tiếp tục được phán tán bằng rất nhiều tài khoản facebook ảo và cả tài khoản bị hack . Cuộc tấn công nhắm mục tiêu cuối cùng là chiếm quyền kiểm soát tài khoản Doanh nghiệp của các của các con mồi.
Chiến dịch tấn công này, được đặt tên là MrTonyScam, các mục tiêu con mồi sẽ nhận được những tin nhắn hấp dẫn nhằm cố lừa họ nhấp vào tập tin nén RAR và ZIP được đính kèm trong tin nhắn Messenger của Facebook. Các tập tin chữa mã độc có thể triển khai một công cụ giảm tải (dropper) lấy giai đoạn tiếp theo từ kho lưu trữ GitHub hoặc GitLab.
Hacker sử dụng chiến thuật thông minh sau khi ăn cắp được cookie chúng sẽ xóa tất cả cookie khiến cho nạn nhân bị logout tài khoản Facebook và không kịp trở tay, lợi dụng khoảng thời gian này kẻ tấn công sẽ nhanh chóng sử dụng cookie chúng vừa chiếm đoạt được để login tài khoản Facebook, đổi mật khẩu và chiếm toàn quyền tài khoản.
Trang tin này cho biết lý do họ biết nhóm "hacker" này có nguồn gốc từ Việt Nam, là khi các chuyên gia phân tích mã nguồn họ đã thấy được những dòng code có reference tiếng Việt và có cả stealer dành riêng cho Cốc Cốc, một trình duyệt có nhân Chromium phổ biến tại Việt Nam.
Guardio Labs cho biết rằng chiến dịch này có tỷ lệ thành công cao, với ước tính 1 trong 250 nạn nhân bị lây nhiễm chỉ trong 30 ngày qua dù để bị nhiễm mã độc này cần phải yêu con mồi phải tải xuống tập tin hấp dẫn chứa mã độc, giải nén và click vào tập tin đính kèm. Đa số các vụ tấn công xảy ra tại Mỹ, Úc, Canada, Pháp, Đức, Indonesia, Nhật Bản, Nepal, Tây Ban Nha, Philippines và Việt Nam, và nhiều quốc gia khác.
WithSecure và Zscaler ThreatLabz mô tả các chiến dịch này tương tự như Ducktail và Duckport mới chuyên nhắm vào các tài khoản Meta Business và Facebook bằng cách sử dụng các chiến thuật malverposting.
WithSecure nhấn mạnh các yếu tố trong chiến dịch tấn công này cho thấy một mối liên kết giữa các nhân vật đe dọa và có thể xuất hiện một hệ sinh thái tội phạm mạng "hacker Việt Nam" rời rạc tương tự như mô hình dịch vụ RaaS (ransomware-as-a-service). Điều này có thể bao gồm việc chia sẻ công cụ và phương pháp tiến hành (TTPs) giữa các nhóm đe dọa, sự tương đồng trong hạ tầng và khả năng tấn công, cũng như mối quan hệ làm việc tích cực giữa các nhân vật đe dọa.
Mô hình dịch vụ RaaS cho phép các tên tội phạm mua và sử dụng phần mềm tống tiền để thực hiện các cuộc tấn công mà họ không cần phải phát triển hoặc quản lý từ đầu. Nếu mô hình tương tự tồn tại trong hệ sinh thái tội phạm mạng "hacker Việt Nam", nó có thể đề cập đến việc các nhóm đe dọa tại Việt Nam chia sẻ công cụ, tài nguyên và kỹ thuật với nhau, tạo ra một môi trường dịch vụ cho các hoạt động tấn công liên quan đến mạng xã hội như Facebook.
Vn-Z.vn team tổng hợp tham khảo nguồn
