Ngày 08 tháng 12 năm 2022Ravie LakshmananBảo mật di động / Phần mềm độc hại Android
Các nhà nghiên cứu đã làm sáng tỏ một chiến dịch phần mềm độc hại hỗn hợp mới nhắm mục tiêu vào cả hệ điều hành Android và Windows nhằm mở rộng nhóm nạn nhân của nó.
Theo một báo cáo của ThreatFabric được chia sẻ với The Hacker News, các cuộc tấn công đòi hỏi phải sử dụng các phần mềm độc hại khác nhau như ERMAC, Erbium, Aurora và Laplas.
“Chiến dịch này đã dẫn đến hàng nghìn nạn nhân,” công ty an ninh mạng Hà Lan cho biết, đồng thời cho biết thêm, “Kẻ đánh cắp Erbium đã lấy cắp thành công dữ liệu của hơn 1.300 nạn nhân.”
Quá trình lây nhiễm ERMAC bắt đầu với một trang web lừa đảo tuyên bố cung cấp phần mềm ủy quyền Wi-Fi cho Android và Windows, khi được cài đặt sẽ đi kèm với các tính năng để đánh cắp các cụm từ hạt giống từ ví tiền điện tử và dữ liệu nhạy cảm khác.
ThreatFabric cho biết họ cũng đã tìm thấy một số ứng dụng độc hại là phiên bản bị trojan hóa của các ứng dụng hợp pháp như Instagram, với những người điều hành sử dụng chúng như những công cụ nhỏ giọt để phân phối tải trọng độc hại bị xáo trộn.
Các ứng dụng giả mạo, có tên là Zombinder, được cho là đã được phát triển bằng cách sử dụng dịch vụ liên kết APK được quảng cáo trên dark web bởi một kẻ đe dọa nổi tiếng kể từ tháng 3 năm 2022.
Các ứng dụng xác sống như vậy đã được sử dụng để phân phối các trojan ngân hàng Android như SOVA và Xenomorph nhắm mục tiêu đến khách hàng ở Tây Ban Nha, Bồ Đào Nha và Canada, cùng những nơi khác.
Thật thú vị, tùy chọn tải xuống dành cho Windows trên trang web cài đặt bẫy phân phối ERMAC được thiết kế để triển khai những kẻ đánh cắp thông tin Erbium và Aurora trên hệ thống bị xâm nhập.
Erbium, một phần mềm độc hại dưới dạng dịch vụ (MaaS) được cấp phép với giá 1.000 đô la mỗi năm, không chỉ đánh cắp mật khẩu và thông tin thẻ tín dụng mà còn được quan sát thấy hoạt động như một đường dẫn để đánh rơi Laplas clipper được sử dụng để chiếm quyền điều khiển các giao dịch tiền điện tử .
Các nhà nghiên cứu đưa ra giả thuyết: “Sự hiện diện của nhiều loại trojan như vậy cũng có thể chỉ ra rằng trang đích độc hại được nhiều tác nhân sử dụng và cung cấp cho họ như một phần của dịch vụ phân phối bên thứ ba”.
