Kẻ đánh cắp Amatera
Với các mối đe dọa mạng đang phát triển với tốc độ chóng mặt, nhu cầu bảo vệ các thiết bị cá nhân và chuyên nghiệp chưa bao giờ cấp thiết hơn thế. Trong số các mối đe dọa mới nhất và nguy hiểm nhất là Amatera Stealer, một chương trình độc hại được thiết kế để xâm nhập vào hệ thống một cách âm thầm, thu thập thông tin nhạy cảm và mở ra cánh cửa cho sự xâm phạm tiếp theo. Tinh vi, lén lút và nguy hiểm, Amatera không chỉ là một phần mềm độc hại thông thường, mà là một vũ khí mạng toàn diện được bán dưới dạng dịch vụ.
Mục lục
Amatera Stealer: Một phần mềm độc hại thương mại mạnh mẽ
Amatera là phần mềm độc hại đánh cắp thông tin được viết bằng C++ và được xây dựng trên nền tảng của một mối đe dọa khác được gọi là ACR. Được cung cấp thông qua mô hình Malware-as-a-Service (MaaS), nó được tiếp thị cho tội phạm mạng với các gói giá theo từng cấp từ 199 đô la một tháng đến 1499 đô la một năm. Cấu trúc này làm giảm rào cản gia nhập đối với các tác nhân đe dọa, giúp những cá nhân ít kinh nghiệm hơn cũng có thể dễ dàng thực hiện các cuộc tấn công nghiêm trọng.
Điều khiến Amatera trở nên đặc biệt nguy hiểm không chỉ là khả năng đánh cắp dữ liệu mà còn là việc nó được một doanh nghiệp tội phạm hậu thuẫn, thường xuyên cung cấp các công cụ cập nhật, hỗ trợ và phân phối.
Amatera hướng tới điều gì: Đi sâu vào mục tiêu của mình
Mục tiêu chính của Amatera là thu thập một loạt dữ liệu nhạy cảm từ các hệ thống bị nhiễm. Nó tập trung vào:
Dữ liệu trình duyệt : Thu thập cookie, dữ liệu biểu mẫu và lịch sử duyệt web.
Tiện ích mở rộng : Nhắm mục tiêu vào các tiện ích mở rộng liên quan đến trình quản lý mật khẩu và ví tiền điện tử.
Ứng dụng máy tính để bàn : Quét dữ liệu từ các ứng dụng email, ứng dụng nhắn tin (Signal, WhatsApp, XMPP), công cụ SSH/FTP và ví phần mềm.
Kiểu tệp và từ khóa : Tìm kiếm trong ổ lưu trữ các tệp có chứa từ khóa hoặc phần mở rộng cụ thể được liên kết với dữ liệu nhạy cảm.
Để vượt qua tính năng bảo mật tích hợp của Chrome, Amatera chèn mã độc trực tiếp vào trình duyệt, buộc trình duyệt phải di chuyển các tệp được bảo vệ đến những vị trí có thể bị đánh cắp.
Không chỉ là kẻ trộm: Thực hiện các lệnh độc hại
Amatera không chỉ giới hạn ở việc trộm cắp thụ động. Nó có khả năng:
- Tải xuống và chạy các tệp có phần mở rộng như .exe, .dll, .cmd và .ps1.
- Khởi chạy tập lệnh PowerShell trên các hệ thống bị xâm nhập.
Điều này có nghĩa là Amatera có khả năng tạo điều kiện cho các phần mềm độc hại bổ sung, duy trì sự tồn tại hoặc cho phép truy cập từ xa, khiến tình trạng xâm phạm trở nên nghiêm trọng hơn.
Cách thức lây lan: Vai trò của ClearFake và Kỹ thuật xã hội
Một trong những phương pháp phân phối đáng chú ý nhất của Amatera là thông qua chiến dịch ClearFake. Hoạt động lừa đảo này xâm phạm các trang web hợp pháp và tiêm vào chúng các tập lệnh có hại. Các trang web này thường được truy cập thông qua email lừa đảo hoặc quảng cáo độc hại.
Các chiến thuật phân phối chính bao gồm:
Lời nhắc CAPTCHA giả : Người dùng được đưa ra những câu hỏi CAPTCHA thuyết phục nhưng thực chất lại thực thi các lệnh độc hại.
Lỗ hổng ClickFix : Được sử dụng để gọi hộp thoại Run của Windows và kích hoạt tải trọng.
Kỹ thuật EtherHiding : Được sử dụng để che giấu mã độc hại trong các giao dịch blockchain và thu thập mã này trong quá trình truy cập trang web.
Phần mềm giả và bản bẻ khóa : Trình cài đặt và bản vá phần mềm ngụy trang lừa người dùng cài đặt phần mềm độc hại.
Các triệu chứng nhiễm trùng và những điều cần chú ý
Người dùng và quản trị viên hệ thống nên cảnh giác với những dấu hiệu tiềm ẩn của nhiễm trùng Amatera sau đây:
- Hoạt động mạng không giải thích được, đặc biệt liên quan đến các tệp thực thi lạ.
- Trình duyệt đột nhiên bị sập hoặc thay đổi hành vi.
- Lời nhắc bất ngờ yêu cầu chạy lệnh cấp hệ thống hoặc CAPTCHA từ các nguồn không đáng tin cậy.
- Các tệp cá nhân, phiên duyệt web hoặc dữ liệu ví tiền điện tử bị mất hoặc bị đánh cắp.
Làm thế nào để giữ an toàn và bảo mật
Để bảo vệ bản thân khỏi các mối đe dọa phần mềm độc hại tiên tiến như Amatera Stealer, bạn cần kết hợp phòng ngừa chủ động và phản ứng nhanh. Một trong những cách hiệu quả nhất để giảm rủi ro là đảm bảo rằng các công cụ chống vi-rút và phần mềm độc hại của bạn luôn được cập nhật và chạy theo thời gian thực. Điều quan trọng nữa là tránh tải xuống phần mềm từ các nguồn không đáng tin cậy hoặc không chính thức, vì những nguồn này thường được sử dụng để phân phối các phần mềm độc hại. Luôn cảnh giác khi nhận được email không mong muốn, đặc biệt là những email có chứa tệp đính kèm hoặc liên kết, là một thói quen quan trọng khác có thể giúp ngăn ngừa nhiễm trùng.
Việc cập nhật phần mở rộng trình duyệt và phần mềm hệ thống là điều cần thiết, vì các phiên bản lỗi thời có thể chứa lỗ hổng bảo mật mà phần mềm độc hại có thể khai thác. Bạn cũng nên chú ý đến bất kỳ hành vi lạ nào trên thiết bị của mình, chẳng hạn như truy cập tệp bất ngờ hoặc sự cố hiệu suất, có thể báo hiệu mối đe dọa đang hoạt động.
Nếu bạn nghi ngờ một hệ thống đã bị xâm phạm, bước đầu tiên là ngắt kết nối hệ thống khỏi internet để ngăn chặn mọi hoạt động rò rỉ dữ liệu đang diễn ra. Chạy quét toàn diện bằng giải pháp bảo mật đáng tin cậy có thể giúp xác định và loại bỏ nhiễm trùng. Sau đó, điều quan trọng là phải đặt lại tất cả mật khẩu và thông tin đăng nhập có thể đã bị lộ. Báo cáo sự cố cho nhóm CNTT của tổ chức bạn hoặc chuyên gia an ninh mạng đảm bảo quá trình điều tra và phục hồi diễn ra đúng cách. Trong những trường hợp nghiêm trọng khi phần mềm độc hại được nhúng sâu, có thể cần phải cài đặt lại toàn bộ hệ thống để khôi phục hoàn toàn tính toàn vẹn của thiết bị.
Suy nghĩ cuối cùng: Đừng đánh giá thấp mối đe dọa này
Amatera Stealer đại diện cho bộ mặt mới của tội phạm mạng, mô-đun, thương mại hóa và xâm lấn sâu sắc. Với phạm vi khả năng rộng và chiến thuật phân phối lừa đảo, đây là mối đe dọa nghiêm trọng đối với cả cá nhân và tổ chức. Phát hiện và loại bỏ phần mềm độc hại này kịp thời là điều cần thiết để bảo vệ danh tính, tài chính và cuộc sống số của bạn. Hãy luôn cảnh giác, cập nhật thông tin và ưu tiên vệ sinh an ninh mạng của bạn.
