Một nhóm tin tặc có tên Marko Polo gần đây được phát hiện đã thực hiện hơn ba mươi chiến dịch đánh cắp thông tin người dùng trên không gian mạng. Nhóm tin tặc này sử dụng nhiều phương thức tấn công khác nhau như malvertising, spearphishing, giả mạo thương hiệu trong lĩnh vực phần mềm, trò chơi trực tuyến và tiền điện tử nhằm phát tán các payload độc hại của AMOS, StealC và Rhadamanthys.
Theo báo cáo từ các nhà nghiên cứu của Insikt Group thuộc Recorded Future, chiến dịch của nhóm tin tặc trên tác động tới hàng nghìn công ty và tổ chức, gây thiệt hại ước tính lên tới hàng triệu USD.
Phương thức tấn công
Phương thức tấn công của nhóm tin tặc cũng được Insikt Group chỉ ra trong báo cáo, chủ yếu dựa vào tấn công lừa đảo nhắm mục tiêu thông qua tin nhắn trực tiếp trên các nền tảng mạng xã hội để tiếp cận các mục tiêu có giá trị cao như những người có ảnh hưởng trong lĩnh vực tiền điện tử, game thủ, nhà phát triển phần mềm và những người có khả năng xử lý dữ liệu hoặc tài sản giá trị cao.
Marko Polo đóng giả một số thương hiệu nổi tiếng, xây dựng kịch bản hợp tác phát triển với những người có ảnh hưởng và dụ dỗ họ tải xuống phần mềm độc hại về máy tính. Một số thương hiệu bị giả mạo bao gồm Fortnite (game), Party Icon (game), RuneScape (game), Rise Online World (game), Zoom (năng suất) và PeerMe (tiền điện tử)… Marko Polo cũng sử dụng các thương hiệu tự tạo không liên quan đến các dự án hiện có, như Vortax/Vorion và VDeck (phần mềm họp), Wasper và PDFUnity (nền tảng hợp tác), SpectraRoom (giao tiếp trao đổi tiền điện tử) và NightVerse (game web3).
Trong một số trường hợp, nạn nhân bị dẫn tới trang web giả mạo ứng dụng họp ảo, nhắn tin và trò chơi, được sử dụng để cài đặt phần mềm độc hại. Các chiến dịch khác phát tán phần mềm độc hại thông qua các tệp thực thi (.exe hoặc .dmg) trong các tệp torrent.
Nhắm tới người dùng Windows và macOS
Toolkit của nhóm tin tặc Marko Polo rất đa dạng, cho khả năng của nhóm trong việc thực hiện tấn công đa nền tảng và đa phương thức, nhắm tới hệ điều hành có số lượng người dùng lớn như Windows và macOS.
Trên Windows, HijackLoader được sử dụng để phân phối StealC, một loại mã độc đánh cắp thông tin được thiết kế để thu thập dữ liệu từ trình duyệt và các ứng dụng ví tiền điện tử, hoặc Rhadamanthys, một phần mềm đánh cắp chuyên dụng hơn nhằm vào nhiều loại ứng dụng và dữ liệu khác nhau. Trong bản cập nhật gần đây, Rhadamanthys bổ sung một plugin clipper có khả năng chuyển hướng các khoản thanh toán tiền điện tử vào ví của kẻ tấn công, khả năng khôi phục cookie của Tài khoản Google đã xóa và che giấu sự tồn tại với Windows Defender.
Trường hợp nạn nhân sử dụng macOS, Marko Polo triển khai Atomic ('AMOS'). Mã độc này cho phép tin tặc đánh cắp nhiều loại dữ liệu được lưu trữ trong trình duyệt web, brute-force MetaMask và đánh cắp mật khẩu từ Apple Keychain để lấy mật khẩu WiFi, thông tin đăng nhập credential, dữ liệu thẻ tín dụng và các thông tin mã hóa khác được lưu trữ trên macOS.
Tổng kết
Những chiến dịch liên quan đến mã độc đánh cắp thông tin đã tăng trưởng mạnh mẽ trong những năm vừa qua, với các tác nhân đe dọa nhắm mục tiêu tới người dùng thông qua các lỗ hổng zero-day, các phần mềm và bản vá lỗ hổng bảo mật giả mạo, gây thiệt hại lớn cho các công ty và tổ chức.
Để giảm thiểu rủi ro tồn tại mã độc đánh cắp thông tin trong hệ thống, người dùng không nên truy cập tới các liên kết được chia sẻ bởi người lạ và chỉ tải phần mềm từ các nguồn uy tín. Ngoài ra, các mã độc được sử dụng bởi Marko Polo có thể được phát hiện bởi hầu hết các phần mềm diệt virus hiện nay, vì vậy các nhà nghiên cứu bảo mật khuyến nghị người dùng quét các tệp đã tải xuống trước khi khởi chạy để có thể ngăn chặn quá trình lây nhiễm trước khi mã độc có cơ hội lây nhiễm lan rộng hơn.
Tham khảo
- Báo cáo từ Insikt Group: https://go.recordedfuture.com/hubfs/reports/cta-2024-0917.pdf