Phần mềm độc hại GhostChat trên điện thoại di động
GhostChat là một ứng dụng Android độc hại, tự xưng là nền tảng trò chuyện hoặc hẹn hò nhưng lại hoạt động bí mật như phần mềm gián điệp. Mục đích chính của nó là thu thập thông tin nhạy cảm từ các thiết bị bị nhiễm. Phân tích cho thấy người dùng ở Pakistan là mục tiêu chính. Nên gỡ bỏ ngay lập tức nếu phát hiện ứng dụng này trên thiết bị, vì sự hiện diện còn lại sẽ làm tăng đáng kể nguy cơ đánh cắp dữ liệu và bị xâm phạm an ninh mạng diện rộng hơn.
Mục lục
Quy trình đăng ký lừa đảo và xác thực giả mạo
Sau khi cài đặt, GhostChat liên tục yêu cầu nhiều quyền truy cập thiết bị. Sau khi được cấp phép, người dùng sẽ được hiển thị giao diện đăng nhập yêu cầu thông tin đăng nhập hợp lệ. Quá trình này hoàn toàn là lừa đảo, vì thông tin xác thực được mã hóa cứng vào ứng dụng chứ không phải được xác minh thông qua dịch vụ máy chủ hợp pháp. Bước đăng nhập chỉ tồn tại để tạo ra ảo tưởng về tính xác thực.
Tương tác người dùng mang tính thao túng và chuyển hướng WhatsApp
Sau khi đăng nhập giả mạo, ứng dụng hiển thị nhiều hồ sơ nữ có hình ảnh, tên và tuổi. Trên thực tế, không hồ sơ nào có thể truy cập được. Khi cố gắng tương tác với chúng, người dùng được yêu cầu nhập "mã mở khóa". Mỗi hồ sơ được liên kết với một số WhatsApp cụ thể, và việc nhập mã được yêu cầu sẽ khiến ứng dụng tự động mở WhatsApp và bắt đầu cuộc trò chuyện với số điện thoại đó, tạo điều kiện cho các hoạt động lừa đảo tình cảm và kỹ thuật xã hội.
Giám sát thầm lặng và đánh cắp dữ liệu liên tục
GhostChat thực hiện các hoạt động độc hại trong nền ngay từ khi khởi chạy, thậm chí trước cả giai đoạn đăng nhập. Nó giám sát hoạt động của thiết bị và truyền thông tin thu thập được đến máy chủ điều khiển từ xa (C2). Phần mềm độc hại định kỳ quét thiết bị để tìm nội dung mới, tự động tải ảnh lên và kiểm tra các tài liệu mới được tạo hoặc lưu trữ cứ sau năm phút. Phạm vi dữ liệu thu thập bao gồm:
Mã định danh thiết bị, danh sách liên lạc, hình ảnh và tài liệu như các tệp PDF, Word, Excel và PowerPoint.
Chuỗi lây nhiễm cơ sở hạ tầng dùng chung và máy tính để bàn
Hệ thống máy chủ điều khiển (C2) của GhostChat cũng được sử dụng để phân phối thêm các thành phần độc hại. Trong số đó có một tệp DLL liên quan đến ClickFix, một kỹ thuật được thiết kế để đánh lừa người dùng tự thực thi phần mềm độc hại bằng cách làm theo các hướng dẫn giả mạo. Phương pháp này mở rộng mối đe dọa ra ngoài thiết bị di động và cho phép lây nhiễm sang các hệ thống máy tính để bàn.
Lạm dụng danh tính đáng tin cậy thông qua các cảnh báo giả mạo
Các chiến dịch ClickFix liên kết với GhostChat dựa vào các trang web gây hiểu nhầm và các cảnh báo bảo mật giả mạo. Trong các trường hợp được ghi nhận, kẻ tấn công giả mạo Đội Ứng phó Khẩn cấp Máy tính của Pakistan, hiển thị các thông báo đáng báo động về các mối đe dọa được cho là đối với cơ sở hạ tầng quốc gia và mạng lưới chính phủ. Nạn nhân được khuyến khích nhấp vào nút 'Cập nhật', thao tác này sẽ bắt đầu tải xuống và thực thi tệp DLL độc hại. Sau khi được kích hoạt, tệp DLL sẽ báo cáo các chi tiết hệ thống như tên máy tính và tên người dùng cho máy chủ lệnh, liên tục kiểm tra các hướng dẫn tiếp theo và thực thi các lệnh nhận được bằng PowerShell.
Chiêu trò chiếm đoạt tài khoản WhatsApp thông qua mã QR
Các đối tượng xấu cũng thực hiện các vụ lừa đảo tập trung vào thiết bị di động nhắm vào người dùng WhatsApp. Nạn nhân bị dụ dỗ đến một trang web giả mạo tự nhận là có liên kết với Bộ Quốc phòng Pakistan và được khuyến khích tham gia một cộng đồng giả mạo. Việc quét mã QR được cung cấp sẽ liên kết tài khoản WhatsApp của nạn nhân với WhatsApp Web hoặc Desktop dưới sự kiểm soát của kẻ tấn công. Điều này cho phép truy cập đầy đủ vào các cuộc trò chuyện và danh bạ, từ đó chiếm đoạt tài khoản mà người dùng không hề hay biết ngay lập tức.
Chiến lược phân phối và giảm thiểu rủi ro
GhostChat được phân phối độc quyền bên ngoài các cửa hàng ứng dụng chính thức. Nó được quảng cáo là một ứng dụng hẹn hò hoặc nhắn tin và dựa vào các thủ đoạn lừa đảo tình cảm để thuyết phục người dùng tự cài đặt tệp APK và cho phép cài đặt từ các nguồn không xác định. Sau khi được cài đặt, phần mềm độc hại ngay lập tức yêu cầu quyền và bắt đầu các hoạt động gián điệp bí mật. Các chiến dịch phối hợp này kết hợp kỹ thuật xã hội, phần mềm gián điệp và chiếm đoạt tài khoản để xâm nhập cả môi trường di động và máy tính để bàn. Cảnh giác với các liên kết không mong muốn, cửa sổ bật lên đáng báo động, ứng dụng không chính thức và mã QR bất ngờ vẫn rất quan trọng để bảo vệ dữ liệu cá nhân và tài khoản người dùng.
