Cảnh báo chiến dịch giả mạo Google Meet để phát tán phần mềm độc hại

10:42, 04/11/2024

Người dùng Windows và MacOS đang là mục tiêu của một chiến dịch tấn công kỹ thuật xã hội mới mang tên “ClickFix”, sử dụng các trang web Google Meet giả mạo để cài phần mềm độc hại đánh cắp thông tin vào hệ thống của nạn nhân.

ClickFix là một chiến thuật tấn công mạng xuất hiện vào tháng 5/2024, lần đầu tiên được công ty an ninh mạng Proofpoint (Mỹ) báo cáo, theo đó các tác nhân đe dọa TA571 đã sử dụng các tin nhắn giả mạo với thông báo lỗi cho Google Chrome, Microsoft Word và OneDrive.

Lỗi này nhắc nhở nạn nhân sao chép vào clipboard một đoạn mã PowerShell để khắc phục sự cố bằng cách chạy đoạn mã đó trong CMD. Khi thực thi, đoạn mã sẽ phát tán các dòng phần mềm độc hại khác nhau như DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig, trình chiếm quyền điều khiển clipboard và Lumma Stealer.

Chiến dịch giả mạo Google Meet để phát tán phần mềm độc hại

Vào tháng 7/2024, hãng bảo mật McAfee (Mỹ) báo cáo rằng các chiến dịch ClickFix đang trở nên thường xuyên hơn, đặc biệt là ở Mỹ và Nhật Bản. Một báo cáo mới từ công ty an ninh mạng Sekoia (Pháp) lưu ý rằng các chiến dịch ClickFix đã có sự thay đổi đáng kể và hiện sử dụng mồi nhử là Google Meet, Facebook, Github và email lừa đảo nhắm vào các công ty vận tải và hậu cần.

Hình 1. Dòng thời gian phát triển của ClickFix

Theo Sekoia, một số chiến dịch gần đây được thực hiện bởi hai nhóm tin tặc là Slavic Nation Empire (SNE) và Scamquerteo, được coi là một nhánh của băng nhóm lừa đảo tiền điện tử Marko Polo và CryptoLove.

Hình 2. Nhiều hình thức thông báo giả mạo được sử dụng trong các chiến dịch gần đây

Trong chiến dịch ClickFix gần đây, kẻ tấn công sẽ gửi cho nạn nhân những email trông giống như lời mời tham gia Google Meet hợp pháp liên quan đến cuộc họp/hội nghị hoặc một sự kiện quan trọng nào đó. Các URL này rất giống với các liên kết Google Meet thực tế:

  • meet[.]google[.]us-join[.]com

  • meet[.]google[.]web-join[.]com

  • meet[.]googie[.]com-join[.]us

  • meet[.]google[.]cdm-join[.]us

Khi nạn nhân truy cập vào trang giả mạo, họ sẽ nhận được một tin nhắn hiển thị thông báo về sự cố kỹ thuật, chẳng hạn như sự cố về micrô hoặc tai nghe.

Hình 3. Thông báo lỗi giả mạo trên Google Meet

Nếu nạn nhân nhấp vào “Try Fix”, quy trình lây nhiễm ClickFix sẽ được thực hiện, trong đó mã PowerShell được trang web sao chép và dán vào Windows prompt sẽ lây nhiễm phần mềm độc hại vào máy tính của họ, lấy dữ liệu từ miền “googiedrivers[.]com”.

Các payload cuối cùng là phần mềm độc hại đánh cắp thông tin Stealc hoặc Rhadamanthys trên Windows. Trên hệ điều hành macOS, tác nhân đe dọa phát tán phần mềm độc hại AMOS Stealer dưới dạng tệp .DMG có tên “Launcher_v194”.

Từ khóa: Google Meet giả mạophần mềm độc hạiNgười dùng Windows và MacOSchiến dịch tấn công kỹ thuậtchiến dịch ClickFixtrang web Google Meet giả mạocài phần mềm độc hạiđánh cắp thông tin

Bài khác

Cảnh giác với chiêu giả danh cán bộ ngân hàng cho vay tiền online nhằm chiếm đoạt tài sản Cảnh giác với chiêu giả danh cán bộ ngân hàng cho vay tiền online nhằm chiếm đoạt tài sản
02:55 pm, 04/11/2024
Cảnh báo mạo danh Open AI, Cục Đăng kiểm, lừa đảo khi mua bán trên mạng xã hội Cảnh báo mạo danh Open AI, Cục Đăng kiểm, lừa đảo khi mua bán trên mạng xã hội
01:25 pm, 04/11/2024
Cảnh báo chiến dịch giả mạo Google Meet để phát tán phần mềm độc hại Cảnh báo chiến dịch giả mạo Google Meet để phát tán phần mềm độc hại
10:42 am, 04/11/2024
Thủ tướng Chính phủ biểu dương đội ngũ an ninh mạng Viettel Thủ tướng Chính phủ biểu dương đội ngũ an ninh mạng Viettel
10:18 am, 03/11/2024
Cầu Giấy (Hà Nội): Mất hơn 400 triệu đồng khi cài phần mềm dịch vụ công giả mạo Cầu Giấy (Hà Nội): Mất hơn 400 triệu đồng khi cài phần mềm dịch vụ công giả mạo
10:05 am, 02/11/2024
Gián điệp mạng Iran khai thác lỗ hổng bảo mật mới trên Windows kernel Gián điệp mạng Iran khai thác lỗ hổng bảo mật mới trên Windows kernel
03:55 pm, 01/11/2024
Cảnh giác khi nhận được yêu cầu khôi phục tài khoản Gmail Cảnh giác khi nhận được yêu cầu khôi phục tài khoản Gmail
03:39 pm, 01/11/2024
Lại thêm một người bị mất hơn 400 triệu đồng sau khi cài đặt phần mềm giả mạo Lại thêm một người bị mất hơn 400 triệu đồng sau khi cài đặt phần mềm giả mạo
11:52 am, 01/11/2024
Cảnh giác với chiêu trò mạo danh Cục Đăng kiểm để lừa tiền Cảnh giác với chiêu trò mạo danh Cục Đăng kiểm để lừa tiền
08:05 am, 01/11/2024
Cảnh báo lừa đảo dịch vụ luật sư thu hồi tiền treo trên mạng Cảnh báo lừa đảo dịch vụ luật sư thu hồi tiền treo trên mạng
11:25 am, 31/10/2024

Bài mới nhất

Công bố 615 ứng viên đạt chuẩn Giáo sư, Phó Giáo sư năm 2024 Công bố 615 ứng viên đạt chuẩn Giáo sư, Phó Giáo sư năm 2024
Bắt đáy yếu ớt, khối ngoại xả ròng hơn 670 tỷ, nhóm chứng khoán gây bất ngờ Bắt đáy yếu ớt, khối ngoại xả ròng hơn 670 tỷ, nhóm chứng khoán gây bất ngờ
Infineon ra mắt tấm wafer silicon Infineon ra mắt tấm wafer silicon "mỏng nhất thế giới"
Cảnh giác với chiêu giả danh cán bộ ngân hàng cho vay tiền online nhằm chiếm đoạt tài sản Cảnh giác với chiêu giả danh cán bộ ngân hàng cho vay tiền online nhằm chiếm đoạt tài sản
BlackBerry QNX và Intel ra mắt nền tảng an toàn chức năng cho tự động hóa công nghiệp BlackBerry QNX và Intel ra mắt nền tảng an toàn chức năng cho tự động hóa công nghiệp
BT hỗ trợ khách hàng quản lý lượng khí thải carbon từ các ứng dụng AI BT hỗ trợ khách hàng quản lý lượng khí thải carbon từ các ứng dụng AI
Cảnh báo mạo danh Open AI, Cục Đăng kiểm, lừa đảo khi mua bán trên mạng xã hội Cảnh báo mạo danh Open AI, Cục Đăng kiểm, lừa đảo khi mua bán trên mạng xã hội
Đại biểu đề nghị xử lý nghiêm các vụ lừa đảo, đánh cắp thông tin cá nhân trên mạng Đại biểu đề nghị xử lý nghiêm các vụ lừa đảo, đánh cắp thông tin cá nhân trên mạng
Chưa hết sốt vì căn hộ chỉ từ 25tr/m2, nhà đầu tư háo hức tìm cơ hội sở hữu phân khu thấp tầng của Sun Group tại Hà Nam Chưa hết sốt vì căn hộ chỉ từ 25tr/m2, nhà đầu tư háo hức tìm cơ hội sở hữu phân khu thấp tầng của Sun Group tại Hà Nam
Tổng cục Thuế: Thu đúng, thu đủ thuế với các sàn thương mại điện tử xuyên biên giới Tổng cục Thuế: Thu đúng, thu đủ thuế với các sàn thương mại điện tử xuyên biên giới
Lộ trình đến năm 2030: Xe điện phải sớm chiếm 1/3 Lộ trình đến năm 2030: Xe điện phải sớm chiếm 1/3
Những kết quả đạt được về KT-XH là rất tích cực, khả quan Những kết quả đạt được về KT-XH là rất tích cực, khả quan
Cảnh báo chiến dịch giả mạo Google Meet để phát tán phần mềm độc hại Cảnh báo chiến dịch giả mạo Google Meet để phát tán phần mềm độc hại
Định hình 'bức tranh thương mại' Việt Nam - UAE ngày càng sắc nét Định hình 'bức tranh thương mại' Việt Nam - UAE ngày càng sắc nét
Apple đạt doanh thu kỷ lục quý 3 nhờ sự tăng trưởng ấn tượng của iPhone 16 Apple đạt doanh thu kỷ lục quý 3 nhờ sự tăng trưởng ấn tượng của iPhone 16