Gửi bình luận
Các chuyên gia đã cảnh báo về một chiến dịch tấn công mạng mới sử dụng các ứng dụng Zoom giả mạo, nhắm mục tiêu vào các tổ chức trên khắp Bắc Mỹ, châu Âu và châu Á-Thái Bình Dương.
Chiến dịch mạng này được cho là do Nhóm BlueNoroff, một chi nhánh nổi tiếng của Nhóm Lazarus khét tiếng, thực hiện. Chúng giả mạo các dịch vụ hội nghị truyền hình hợp pháp của Zoom để lừa nạn nhân. Tập trung chủ yếu vào các lĩnh vực game, giải trí và công nghệ tài chính (fintech), hoạt động của chúng dường như được phối hợp cẩn thận và nhằm mục đích đánh cắp ví tiền điện tử cùng các dữ liệu tài chính nhạy cảm khác.
Cách thức tấn công
Hoạt động tấn công thường bắt đầu bằng một AppleScript lừa đảo, được thiết kế trông giống như đang thực hiện bảo trì SDK của Zoom thông thường. Các nhà phân tích đã phát hiện ra đoạn script này được "nhồi nhét" khoảng 10.000 dòng trống để che giấu các lệnh độc hại nằm sâu bên trong.
Những lệnh này, được tìm thấy ở dòng 10.017 và 10.018, sử dụng một yêu cầu curl để âm thầm tải xuống phần mềm độc hại từ một miền giả mạo: zoom-tech[.]us.
Sau khi được cài đặt, phần mềm độc hại sẽ tự nhúng vào hệ thống bằng cách sử dụng cấu hình LaunchDaemon để thực thi payload độc hại khi khởi động với đặc quyền nâng cao.
Các thành phần bổ sung sau đó được truy xuất từ cơ sở hạ tầng đã bị xâm nhập và ngụy trang thành các công cụ macOS thông thường như “icloud_helper” và “Wi-Fi Updater”.
Các thành phần này xóa dấu vết của các tệp tạm thời và thư mục dàn dựng, sử dụng các phương pháp chống phân tích pháp y (anti-forensics) để tránh bị phát hiện trong khi vẫn duy trì quyền truy cập backdoor để thực hiện các lệnh từ xa và đánh cắp dữ liệu.
Phương pháp này tận dụng kịch bản làm việc từ xa phổ biến, nơi các sự cố kỹ thuật thường được giải quyết nhanh chóng và thường ít được xem xét kỹ lưỡng. Phần mềm độc hại không chỉ đơn thuần đánh cắp thông tin đăng nhập. Nó chủ động tìm kiếm các tiện ích mở rộng ví tiền điện tử, thông tin đăng nhập trình duyệt và khóa xác thực, xác nhận sự tập trung liên tục của BlueNoroff vào việc kiếm tiền.
Trong một trường hợp được ghi nhận, một công ty cờ bạc trực tuyến của Canada đã bị nhắm mục tiêu vào ngày 28.5. Đó là thời điểm những kẻ tấn công sử dụng các script khắc phục sự cố Zoom giả để cài đặt phần mềm độc hại.
Cách để giữ an toàn
Để giữ an toàn, bạn nên xác minh độc lập những người tham gia cuộc họp Zoom, chặn các miền đáng ngờ và sử dụng phần mềm bảo vệ điểm cuối (endpoint protection). Lý do là những kẻ tấn công hiện đang sử dụng các nền tảng đáng tin cậy và quy trình làm việc quen thuộc để vượt qua các biện pháp bảo vệ cơ bản.
Điều quan trọng là phải chọn phần mềm chống vi-rút và bảo vệ chống mã độc tống tiền tốt nhất, đặc biệt đối với các tổ chức có tài sản kỹ thuật số hoặc nắm giữ tiền điện tử.
Các doanh nghiệp nên áp dụng biện pháp bảo vệ chống trộm danh tính để giám sát dữ liệu và thông tin đăng nhập bị lộ, đào tạo nhân viên về rủi ro lừa đảo xã hội (social engineering) và bảo mật các công cụ tiền điện tử bằng ví cứng (hardware wallets).
.jpg "Tổng công ty Điện lực TP.HCM cung cấp dịch vụ điện trên toàn địa bàn TP.HCM mới")
