Phần mềm độc hại JinxLoader

Một trình tải phần mềm độc hại được phát hiện gần đây, có tên JinxLoader, được xây dựng trên ngôn ngữ lập trình Go và hiện đang được những kẻ liên quan đến gian lận sử dụng để phân phối các tải trọng tiếp theo, bao gồm cả Formbook và phiên bản kế nhiệm của nó, XLoader. Các nhà nghiên cứu an ninh mạng đã xác định được một loạt kỹ thuật tấn công nhiều bước được các tác nhân đe dọa sử dụng, trong đó các cuộc tấn công lừa đảo là phương tiện chính để triển khai JinxLoader.

Kẻ tấn công mạo danh các thực thể hợp pháp để cung cấp JinxLoader

Chiến dịch tấn công được bắt đầu thông qua các email lừa đảo giả mạo là thông tin liên lạc từ Công ty Dầu khí Quốc gia Abu Dhabi (ADNOC). Những email lừa đảo này khuyến khích người nhận mở tệp đính kèm lưu trữ RAR được bảo vệ bằng mật khẩu. Khi mở các tệp đính kèm này, tệp thực thi JinxLoader sẽ được phát hành, đóng vai trò là cổng để triển khai Formbook hoặc XLoader .

Điều thú vị là phần mềm độc hại này thể hiện một đặc điểm độc đáo bằng cách tỏ lòng tôn kính với nhân vật Liên minh huyền thoại, Jinx. Ký tự này nổi bật trên áp phích quảng cáo của phần mềm độc hại và bảng đăng nhập của cơ sở hạ tầng chỉ huy và kiểm soát của nó. Mục đích chính của JinxLoader rất rõ ràng – nó phục vụ như một công cụ để tải và thực thi phần mềm độc hại vào các hệ thống được nhắm mục tiêu. Bằng chứng thu thập được chỉ ra rằng dịch vụ phần mềm độc hại ban đầu được quảng cáo trên hackforums[.]net vào khoảng ngày 30 tháng 4 năm 2023, với các tùy chọn giá được đặt ở mức phí trọn đời một lần là 200 USD hoặc 60 USD mỗi tháng và 120 USD mỗi năm.

Phần mềm độc hại đánh cắp vẫn là lĩnh vực phổ biến đối với các nhóm tội phạm mạng

Cho thấy khả năng sinh lời bền vững của thị trường phần mềm độc hại đánh cắp, các nhà nghiên cứu đã xác định được một họ phần mềm đánh cắp mới có tên là Vortex Stealer. Phần mềm độc hại này thể hiện khả năng trích xuất nhiều loại dữ liệu khác nhau, bao gồm thông tin trình duyệt, mã thông báo Discord, phiên Telegram, chi tiết hệ thống và các tệp có kích thước dưới 2 MB.

Dữ liệu bị đánh cắp được lưu trữ một cách có hệ thống và sau đó được tải lên các nền tảng như Gofile hoặc Anonfiles. Ngoài ra, phần mềm độc hại có khả năng phổ biến thông tin bị đánh cắp bằng cách đăng thông tin đó lên kênh Discord của tác giả bằng cách sử dụng webhook. Hơn nữa, Vortex Stealer có thể chia sẻ dữ liệu trên Telegram thông qua việc sử dụng bot Telegram.

Nhiễm trùng kẻ đánh cắp có thể dẫn đến hậu quả nghiêm trọng

Việc lây nhiễm kẻ đánh cắp thông tin có thể gây ra hậu quả nghiêm trọng cho nạn nhân do bản chất của phần mềm độc hại và thông tin nhạy cảm mà nó nhắm tới. Dưới đây là một số phân nhánh tiềm năng:

• Mất thông tin cá nhân và tài chính : Kẻ đánh cắp thông tin được thiết kế để thu thập dữ liệu nhạy cảm như thông tin đăng nhập, số thẻ tín dụng, chi tiết ngân hàng và thông tin nhận dạng cá nhân. Nạn nhân có thể bị tổn thất tài chính, bị đánh cắp danh tính và bị truy cập trái phép vào tài khoản của họ.
• Xâm phạm quyền riêng tư : Những kẻ đánh cắp thông tin thường xâm phạm quyền riêng tư của cá nhân bằng cách thu thập thông tin cá nhân, thông tin này có thể bị khai thác cho nhiều mục đích không an toàn. Việc xâm phạm quyền riêng tư này có thể gây ảnh hưởng lâu dài và sâu sắc đến nạn nhân.
• Trộm cắp thông tin xác thực : Kẻ đánh cắp thông tin đặc biệt nhắm mục tiêu tên người dùng và mật khẩu cho nhiều tài khoản khác nhau, bao gồm email, mạng xã hội và ngân hàng trực tuyến. Sau khi được thu thập, những thông tin xác thực này có thể bị lạm dụng để truy cập trái phép, dẫn đến các tài khoản bị xâm phạm và có khả năng lạm dụng danh tính trực tuyến.
• Dữ liệu kinh doanh bị xâm phạm : Trong trường hợp mục tiêu kinh doanh hoặc tổ chức, việc lây nhiễm thông tin có thể dẫn đến việc đánh cắp thông tin độc quyền, tài sản trí tuệ hoặc dữ liệu nhạy cảm của công ty. Điều này có thể gây tổn thất tài chính, tổn hại đến danh tiếng và hậu quả pháp lý.
• Phần mềm tống tiền và tống tiền : Những kẻ đánh cắp thông tin có thể đóng vai trò là tiền thân cho các cuộc tấn công có tính hủy diệt cao hơn, chẳng hạn như phần mềm tống tiền. Tội phạm mạng có thể sử dụng thông tin bị đánh cắp làm đòn bẩy để yêu cầu nạn nhân thanh toán tiền chuộc, đe dọa tiết lộ hoặc sử dụng sai mục đích dữ liệu bị xâm phạm.
• Gián đoạn cuộc sống cá nhân và nghề nghiệp : Nạn nhân của nhiễm trùng kẻ đánh cắp thông tin có thể phải đối mặt với sự gián đoạn đáng kể trong cả khía cạnh cá nhân và nghề nghiệp trong cuộc sống của họ. Việc phục hồi sau hậu quả của hành vi trộm cắp danh tính, tổn thất tài chính hoặc truy cập trái phép vào thông tin liên lạc cá nhân có thể tốn nhiều thời gian và đau khổ về mặt tinh thần.
• Hậu quả lâu dài : Hậu quả của việc lây nhiễm kẻ đánh cắp thông tin có thể vượt ra ngoài sự cố ngay lập tức. Nạn nhân có thể phải giải quyết hậu quả trong một thời gian dài, bao gồm nhu cầu giám sát tín dụng, thủ tục pháp lý và nỗ lực khôi phục các tài khoản bị xâm phạm.

Để giảm thiểu rủi ro liên quan đến việc lây nhiễm kẻ đánh cắp thông tin, các cá nhân và tổ chức nên ưu tiên các biện pháp an ninh mạng, bao gồm cập nhật phần mềm thường xuyên, giải pháp chống vi-rút mạnh mẽ và giáo dục người dùng về cách nhận biết và tránh các cuộc tấn công lừa đảo.