ThirdEye Stealer

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một phần mềm đánh cắp thông tin dựa trên Windows mới có tên là ThirdEye, phần mềm này trước đây chưa được biết đến và được sử dụng tích cực để xâm phạm tính bảo mật của các hệ thống bị nhiễm. Mối đe dọa có hại này được thiết kế để trích xuất dữ liệu nhạy cảm từ các máy chủ bị xâm nhập, gây ra rủi ro đáng kể đối với bảo mật và quyền riêng tư của các cá nhân hoặc tổ chức bị ảnh hưởng.

Việc phát hiện ra ThirdEye xảy ra khi các nhà nghiên cứu bắt gặp một tệp thực thi ban đầu có vẻ là một tài liệu PDF vô hại. Tệp này được ngụy trang dưới dạng tệp PDF có tên tiếng Nga là 'CMK Правила оформления больничных листов.pdf.exe,' tạm dịch là 'Quy tắc CMK về cấp nghỉ ốm.pdf.exe.' Chiến thuật lừa đảo này nhằm lừa người dùng tin rằng họ đang mở một tệp PDF hợp pháp trong khi thực tế là họ đang thực thi một chương trình độc hại trên hệ thống của mình.

Mặc dù phương pháp cụ thể mà ThirdEye được phân phối vẫn chưa được biết, nhưng các đặc điểm của tệp thu hút cho thấy rõ ràng nó có liên quan đến một chiến dịch lừa đảo. Các chiến dịch lừa đảo thường sử dụng các chiến thuật lừa đảo để lừa người dùng tiết lộ thông tin nhạy cảm hoặc vô tình thực thi các tệp độc hại và tệp thực thi ngụy trang của ThirdEye phù hợp với mô hình này.

The ThirdEye Stealer thu thập và lọc dữ liệu nhạy cảm từ các thiết bị bị vi phạm

ThirdEye đang phát triển phần mềm đánh cắp thông tin, tương tự như các dòng phần mềm độc hại khác trong danh mục của nó, sở hữu các khả năng tiên tiến để thu thập siêu dữ liệu hệ thống từ các máy bị xâm nhập. Nó có thể thu thập thông tin cần thiết như ngày phát hành BIOS và nhà cung cấp, tổng dung lượng đĩa còn trống trên ổ C, các quy trình hiện đang chạy, tên người dùng đã đăng ký và chi tiết về dung lượng. Sau khi có được, dữ liệu bị đánh cắp này sẽ được truyền đến máy chủ Command-and-Control (C2).

Một đặc điểm đáng chú ý của phần mềm độc hại này là việc sử dụng mã định danh '3rd_eye' để báo hiệu sự hiện diện của nó đối với máy chủ C2. Chuỗi duy nhất này hoạt động như một cơ chế báo hiệu, cho phép các tác nhân đe dọa xác định và giám sát các máy bị nhiễm từ xa.

Có tính đến các chi tiết cụ thể của mối đe dọa ThirdEye Stealer, có khả năng các mục tiêu chính của phần mềm độc hại này là các tổ chức hoặc cá nhân trong các khu vực nói tiếng Nga. Mục đích có thể có của hoạt động độc hại này là thu thập thông tin có giá trị từ các hệ thống bị xâm nhập, có thể được sử dụng làm bước đệm cho các cuộc tấn công trong tương lai hoặc để hiểu rõ hơn về các mục tiêu tiềm năng. Mặc dù không được phân loại là có độ phức tạp cao, nhưng phần mềm độc hại này được thiết kế đặc biệt để trích xuất nhiều loại dữ liệu nhạy cảm, khiến nó trở thành rủi ro đáng kể đối với bảo mật và quyền riêng tư của các cá nhân hoặc tổ chức bị ảnh hưởng.

Các mối đe dọa của Infostealer có thể dẫn đến các cuộc tấn công tiếp theo với hậu quả tàn khốc

Trở thành nạn nhân của một cuộc tấn công bằng phần mềm độc hại infostealer gây ra những mối nguy hiểm đáng kể cho các cá nhân cũng như tổ chức. Các cuộc tấn công này được thiết kế đặc biệt để lén lút thu thập thông tin nhạy cảm từ các hệ thống bị xâm nhập, dẫn đến vô số rủi ro và hậu quả tiềm ẩn.

Một trong những mối nguy hiểm chính là sự xâm phạm dữ liệu cá nhân hoặc dữ liệu nhạy cảm. Kẻ đánh cắp thông tin có khả năng thu thập nhiều loại thông tin, bao gồm tên người dùng, mật khẩu, dữ liệu tài chính, thông tin nhận dạng cá nhân (PII) và các chi tiết bí mật khác. Dữ liệu bị đánh cắp này có thể được sử dụng cho nhiều mục đích xấu khác nhau, chẳng hạn như đánh cắp danh tính, gian lận tài chính hoặc thậm chí là tống tiền. Việc mất quyền kiểm soát thông tin cá nhân của một người có thể gây ra những hậu quả sâu rộng, cả về tài chính và tình cảm.

Một mối nguy hiểm khác là khả năng truy cập trái phép vào các hệ thống và mạng. Kẻ đánh cắp thông tin thường đóng vai trò là điểm vào của tội phạm mạng, cho phép chúng có chỗ đứng trong cơ sở hạ tầng của tổ chức. Sau khi xâm nhập vào bên trong, những kẻ tấn công có thể thực hiện các hoạt động độc hại khác, chẳng hạn như triển khai phần mềm độc hại bổ sung, khởi chạy các cuộc tấn công ransomware hoặc đánh cắp dữ liệu kinh doanh nhạy cảm. Điều này có thể dẫn đến tổn thất tài chính đáng kể, gián đoạn hoạt động và tổn hại đến danh tiếng của một tổ chức.

Hơn nữa, phần mềm độc hại infostealer có thể xâm phạm quyền riêng tư và bảo mật của các cá nhân và tổ chức. Việc đánh cắp thông tin nhạy cảm có thể dẫn đến việc tiết lộ bí mật cá nhân hoặc công ty, sở hữu trí tuệ hoặc bí mật thương mại. Điều này có thể gây ra những tác động nghiêm trọng đối với các cá nhân, công ty và thậm chí cả an ninh quốc gia, tùy thuộc vào bản chất của dữ liệu bị đánh cắp.

Ngoài ra, các cuộc tấn công của phần mềm độc hại infostealer có thể có hiệu ứng gợn sóng, không chỉ ảnh hưởng đến nạn nhân trực tiếp mà còn cả những người liên hệ, khách hàng hoặc đồng nghiệp của họ. Sau khi các tác nhân đe dọa có quyền truy cập vào thông tin của một cá nhân hoặc tổ chức, chúng có thể khai thác thông tin đó để nhắm mục tiêu những người khác trong mạng của nạn nhân bằng các cuộc tấn công lừa đảo tiếp theo. Điều này có thể dẫn đến vi phạm an ninh rộng hơn, lan rộng tác động của cuộc tấn công và khuếch đại tác hại tiềm ẩn.

Nhìn chung, việc trở thành nạn nhân của một cuộc tấn công bằng phần mềm độc hại infostealer có thể dẫn đến tổn thất tài chính đáng kể, thiệt hại về uy tín, vi phạm quyền riêng tư và thậm chí cả sự phân nhánh pháp lý. Nó nhấn mạnh tầm quan trọng của các biện pháp an ninh mạng mạnh mẽ, cập nhật phần mềm thường xuyên, mật khẩu mạnh và sự cảnh giác của người dùng để giảm thiểu rủi ro liên quan đến các mối đe dọa tinh vi và ngày càng phổ biến này.