Phần mềm độc hại FakeBat
FakeBat, còn được gọi là EugenLoader, là một trình tải và phân phối phần mềm khét tiếng đã trở nên nổi tiếng trong lĩnh vực đe dọa an ninh mạng. FakeBat sớm nhất đã được liên kết với các chiến dịch quảng cáo lừa đảo kể từ tháng 11 năm 2022.
Mặc dù nội dung chính xác mà FakeBat cung cấp trong các chiến dịch này vẫn chưa được xác định, nhưng trình tải này đã thu hút sự chú ý vì phổ biến những kẻ đánh cắp thông tin khét tiếng như RedLine , Ursnif và Rhadamathys.
Phần mềm độc hại FakeBat được phân phối thông qua các quảng cáo lừa đảo
Chúng tôi đã phát hiện một chiến dịch Google Ads đang quảng bá một trang web tải xuống KeePass lừa đảo sử dụng Punycode để bắt chước trang web KeePass chính hãng nhằm mục đích phổ biến FakeBat. Google đã tích cực đấu tranh với vấn đề quảng cáo không an toàn xuất hiện nổi bật trong kết quả tìm kiếm. Điều khiến tình huống này trở nên khó khăn hơn nữa là Google Ads có thể hiển thị miền KeePass thực tế, khiến việc xác định mối đe dọa trở nên khó khăn.
Khi người dùng nhấp vào liên kết lừa đảo, họ sẽ được chuyển hướng đến một trang KeePass giả mạo có URL được thay đổi Punycode, được thiết kế khéo léo để giống với trang đích thực. Nếu người dùng nhấp vào các liên kết tải xuống được cung cấp trên trang web giả mạo này, điều đó sẽ dẫn đến việc cài đặt phần mềm độc hại trên máy tính của họ.
Kiểu lừa dối này không phải là một chiến thuật mới nhưng việc sử dụng nó cùng với Google Ads thể hiện một xu hướng mới đáng lo ngại. Những kẻ liên quan đến lừa đảo sử dụng Punycode để đăng ký các địa chỉ Web gần giống với các địa chỉ hợp pháp với những thay đổi nhỏ, một chiến thuật được gọi là 'tấn công đồng nhất'.
Ví dụ: họ sử dụng Punycode để biến 'xn—eepass-vbb.info' thành thứ gì đó trông rất giống với 'ķeepass.info', với sự khác biệt tinh tế bên dưới ký tự 'k.' Hầu hết mọi người không dễ dàng nhận thấy sự khác biệt tinh tế này. Điều quan trọng cần nhấn mạnh là tội phạm mạng đằng sau trang tải xuống KeePass giả mạo cũng đã sử dụng các trang WinSCP và PyCharm Professional giả mạo.
Như chúng tôi đã đề cập trước đây, mục tiêu chính của chiến dịch này là phổ biến FakeBat, một nhà phân phối tải trọng đầy đe dọa. Điều đáng chú ý là FakeBat đã được sử dụng để xâm nhập các máy tính có Redline, Ursniff, Rhadamathys và có thể cả các phần mềm độc hại đánh cắp thông tin khác.
Phần mềm độc hại Infostealer có thể lấy cắp nhiều loại dữ liệu
Phần mềm độc hại đánh cắp thông tin là một mối đe dọa đáng kể và phổ biến trong thế giới an ninh mạng. Các chương trình đe dọa này được thiết kế để lén lút xâm nhập vào máy tính và lấy thông tin nhạy cảm và bí mật từ nạn nhân. Những mối nguy hiểm do phần mềm độc hại đánh cắp thông tin gây ra rất đa dạng. Đầu tiên và quan trọng nhất, chúng xâm phạm quyền riêng tư và bảo mật của cá nhân và tổ chức bằng cách lấy và lọc nhiều loại dữ liệu, bao gồm chi tiết nhận dạng cá nhân, thông tin tài chính, thông tin đăng nhập và thậm chí cả sở hữu trí tuệ. Dữ liệu được thu thập này có thể được sử dụng cho nhiều mục đích không an toàn, chẳng hạn như đánh cắp danh tính, gian lận tài chính và gián điệp công ty, có thể dẫn đến tổn thất tài chính nghiêm trọng và thiệt hại về danh tiếng.
Một mối nguy hiểm nghiêm trọng khác là bản chất lén lút của phần mềm độc hại đánh cắp thông tin. Các chương trình đe dọa này thường được thiết kế để không bị phát hiện trong thời gian dài, cho phép tội phạm mạng liên tục thu thập thông tin nhạy cảm mà nạn nhân không hề hay biết. Do đó, phần mềm độc hại có thể gây ra thiệt hại lâu dài và khiến nạn nhân không biết về hành vi vi phạm cho đến khi dữ liệu thu thập được tích cực khai thác. Hơn nữa, kẻ đánh cắp thông tin có thể được sử dụng cùng với các dạng phần mềm độc hại khác, khiến chúng trở thành một phần của chiến lược tấn công mạng quy mô hơn. Sự phức tạp này khiến các chuyên gia an ninh mạng gặp khó khăn trong việc phát hiện và chống lại các mối đe dọa này một cách hiệu quả, đồng thời nhấn mạnh sự cần thiết của các biện pháp bảo mật mạnh mẽ và giám sát thận trọng để giảm thiểu những nguy cơ tiềm ẩn liên quan đến việc đánh cắp thông tin phần mềm độc hại.
