Các nhà nghiên cứu đã phát hiện ra một “chiến dịch đa diện” lợi dụng các dịch vụ hợp pháp như GitHub và FileZilla để phát tán nhiều loại phần mềm độc hại đánh cắp thông tin và trojan ngân hàng như Atomic (còn gọi là AMOS), Vidar, Lumma (hoặc LummaC2) và Octo bằng cách mạo danh phần mềm đáng tin cậy như 1Password, Bartender 5 và Pixelmator Pro.
Nhóm Insikt của Recorded Future cho biết: “Sự xuất hiện của nhiều biến thể phần mềm độc hại cho thấy một chiến dịch nhắm mục tiêu đa nền tảng, với cơ sở hạ tầng kiểm soát tấn công (C2) chồng chéo cho thấy khả năng kiểm soát tập trung”.
Công ty an ninh mạng theo dõi hoạt động này, GitCaught, cho biết chiến dịch này không chỉ nêu bật việc lạm dụng các dịch vụ internet đã được xác thực để dàn dựng các cuộc tấn công mạng mà còn dựa vào nhiều biến thể phần mềm. Phần mềm độc hại nhắm vào Android, macOS và Windows để tăng tỷ lệ thành công.
Chuỗi tấn công sử dụng hồ sơ và kho lưu trữ giả mạo trên GitHub để lưu trữ các phiên bản giả mạo của phần mềm nổi tiếng được thiết kế nhằm đánh cắp dữ liệu nhạy cảm từ các thiết bị bị xâm nhập. Các liên kết đến các tệp độc hại này sau đó được chèn vào một số trang web (tên miền) thường phát tán thông qua các chiến dịch quảng cáo độc hại và đầu độc SEO.
Người đứng sau hoạt động này cũng bị phát hiện đang sử dụng máy chủ FileZilla để quản lý và phát tán phần mềm độc hại.
Phân tích sâu hơn về các tệp độc hại trên GitHub và cơ sở hạ tầng liên quan cho thấy các cuộc tấn công có liên quan đến một chiến dịch lớn hơn được thiết kế để phát tán phần mềm độc hại RedLine, Lumma, Raccoon, Vidar, Rhadamanthys, DanaBot và DarkComet RAT ít nhất kể từ tháng 8 năm 2023.
Phương thức lây nhiễm Rhadamanthys cũng đáng chú ý vì nạn nhân truy cập các trang web quảng cáo ứng dụng giả mạo sẽ được chuyển hướng đến tải trọng (tệp/phần mềm độc hại) được lưu trữ trên Bitbucket và Dropbox, cho thấy hành vi lạm dụng. Dịch vụ pháp lý phong phú.
Sự phát triển này diễn ra khi nhóm Threat Intelligence của Microsoft cho biết cửa sau macOS Activator vẫn là một “mối đe dọa đáng chú ý”, được phát tán thông qua các tệp hình ảnh giả dạng phiên bản bẻ khóa của phần mềm hợp pháp và đánh cắp dữ liệu từ ứng dụng ví Exodus và Bitcoin-Qt.
Để giảm thiểu rủi ro, người dùng phải luôn cảnh giác khi tải/cài đặt ứng dụng/phần mềm mới trên thiết bị của mình, không tải phần mềm từ các nguồn không đáng tin cậy; Đồng thời, lưu ý các quyền mà ứng dụng yêu cầu trong quá trình cài đặt hoặc sử dụng. Nếu phát hiện điểm đáng ngờ, tốt nhất bạn nên gỡ cài đặt ứng dụng ngay lập tức.
Link nguồn: https://cafef.vn/canh-giac-voi-loat-ma-doc-danh-cap-thong-tin-va-trojan-ngan-hang-188240521073817328.chn