Mã độc ăn cắp thông tin ví tiền điện tử ẩn nấp trong Google Ads: Nạn nhân 'tự lây nhiễm'?
Kẻ cắp sao Hỏa
Một biến thể phần mềm độc hại đánh cắp thông tin mới được phát hiện có tên Mars Stealer - kẻ cắp sao Hỏa. Nó đang được phát tán rộng rãi và các chuyên gia phân tích nguy cơ hiện đã phát hiện ra một chiến dịch lây nhiễm quy mô lớn đầu tiên của nó.
Mars Stealer được thiết kế lại dựa trên phần mềm độc hại Oski đã ngừng phát triển vào năm 2020, có khả năng đánh cắp nhiều thông tin và nhắm đến nhiều ứng dụng.
Mars Stealer được quảng cáo trên các diễn đàn hack với giá chỉ từ 140 USD – 160 USD, nhưng vẫn ít lượt mua. Tuy nhiên gần đây, khi một phần mềm tượng tự là Raccoon Stealer bị dừng hoạt động đột ngột buộc tội phạm mạng phải tìm kiếm giải pháp thay thế và Mars Stealer đã được chú ý.
Các nhà phân tích mối đe dọa tại công ty an ninh mạng Morphisec đã phát hiện ra chiến dịch thay thế này.
Chiến dịch OpenOffice
Các chuyên gia của Morphisec đã phát hiện ra một chiến dịch phát tán Mars Stealer thông qua việc sử dụng Google Ads của phần mềm OpenOffice tại Canada.
OpenOffice là một bộ phần mềm văn phòng mã nguồn mở, hiện thuộc về nền tảng Apache và đã bị LibreOffice soán ngôi vào năm 2010.
Tuy nhiên, OpenOffice vẫn có số lượng tải xuống hàng ngày đáng kể từ những người dùng muốn tìm kiếm một phần mềm chỉnh sửa tài liệu và bảng tính miễn phí. Các chủ sở hữu Mars Stealer đã không sử dụng phần mềm phổ biến hơn là LibreOffice để phát tán vì có thể sẽ bị gỡ xuống nhanh hơn do có nhiều báo cáo.
Trên thực tế, trình cài đặt của OpenOffice trên trang web giả mạo là một tệp thực thi Mars Stealer với bộ mã hóa Babadeda hoặc bộ tải Autoit, vì vậy các nạn nhân vô tình đã tự lây nhiễm cho mình.
|
|
Phần mềm độc hại ẩn nấp trong phần mềm văn phòng được quảng cáo trên Google Ads (Ảnh: bleepingcomputer) |
PC nhiễm mã độc sẽ bị một Trojan đánh cắp nhiều dữ liệu cá nhân, nén trong một tệp zip và được tải lên máy chủ chỉ huy của các tội phạm mạng.
Thông tin bị đánh cắp do Mars Stealer chứa dữ liệu tự động điền của trình duyệt, dữ liệu tiện ích mở rộng trình duyệt, thẻ tín dụng, địa chỉ IP, mã quốc gia và múi giờ.
|
|
Giao diện của phần mềm OpenOffice trên trang wed giả mạo (bên trái) và chính thức (bên phải) |
Vì kẻ sử dụng Mars Stealer đã tự lây nhiễm bản sao của nó trong quá trình gỡ lỗi nên thông tin của chúng cũng bị lộ.
Sai lầm này cho phép các nhà nghiên cứu phát hiện ra nhiều thông tin về chiến dịch phát tán Mars Stealer thông qua OpenOffice như: kẻ đứng sau là một người nói tiếng Nga, tài khoản bị đánh cắp có tên GitLab là tài khoản dùng để thanh toán cho Google Ads, v.v.
Mối đe dọa đối với tiền điện tử
Mars Stealer là một mối đe dọa được quảng bá trên 47 trang các web đen và các diễn đàn hack, Telegram và các kênh phân phối như gói bẻ khóa.
Chuyên gia của Morphisec cho biết những kẻ đánh cắp thông tin này đang tập trung nhiều vào tiền điện tử.
Các ví bị tấn công và đánh cắp nhiều nhất được phát hiện là MetaMask, tiếp theo là ví Coinbase, ví Binance và ví Math, tất cả đều là các ví hot để quản lý tiền điện tử.
Để bảo vệ khỏi những kẻ ăn cắp thông tin, hãy đảm bảo rằng bạn luôn truy cập vào các trang web chính thức chứ không phải kết quả của Google Ad và luôn quét các tệp đã tải xuống bằng các phần mềm bảo vệ trước khi khởi chạy.
