Cảnh báo những trang web chống virus giả mạo phát tán phần mềm độc hại trên Android và Windows
Các nhà nghiên cứu bảo mật của Trellix đã đưa ra cảnh bảo về các tác nhân đe dọa sử dụng các trang web giả mạo giả dạng giải pháp chống vi-rút hợp pháp từ Avast, Bitdefender và Malwarebytes để phát tán phần mềm độc hại có khả năng đánh cắp thông tin nhạy cảm từ thiết bị Android và Windows.
Nhà nghiên cứu bảo mật Gurumoorthi Ramanathan của Trellix cho biết: “Việc lưu trữ phần mềm độc hại thông qua các trang web có vẻ hợp pháp là hành vi lợi dụng người tiêu dùng nói chung, đặc biệt là những người muốn bảo vệ thiết bị của họ khỏi các cuộc tấn công mạng”.
Danh sách các trang web độc hại đã được phát hiện bao gồm:
- avast-securedownload[.]com, được sử dụng để phát tán trojan SpyNote dưới dạng tệp package Android ("Avast.apk"), sau khi được cài đặt, nó sẽ yêu cầu các quyền xâm nhập để đọc tin nhắn SMS và nhật ký cuộc gọi, cài đặt và xóa ứng dụng, chụp ảnh màn hình, theo dõi vị trí và thậm chí khai thác tiền điện tử
- bitdefender-app[.]com, được sử dụng để tải về tệp nén ZIP ("setup-win-x86-x64.exe.zip") dùng để triển khai phần mềm độc hại đánh cắp thông tin Lumma
- Malwarebytes[.]pro, được sử dụng để tải về tệp nén RAR ("MBSetup.rar") dùng để triển khai phần mềm độc hại đánh cắp thông tin StealC
Trellix cho biết họ cũng đã phát hiện ra một tệp thực thi giả mạo Trellix có tên "AMCoreDat.exe", hoạt động như một công cụ dùng để phát tán mã độc có khả năng thu thập thông tin nạn nhân, bao gồm cả dữ liệu trình duyệt, và chuyển chúng đến máy chủ do kẻ tấn công kiểm soát.
Hiện vẫn chưa rõ các trang web giả mạo này được phát tán như thế nào, nhưng các chiến dịch tương tự trước đây đã sử dụng các kỹ thuật như quảng cáo độc hại và đầu độc công cụ tìm kiếm (SEO).
Mã độc đánh cắp thông tin ngày càng trở thành mối đe dọa phổ biến, với việc tội phạm mạng quảng cáo nhiều biến thể mã độc khác nhau, bao gồm các phần mềm đánh cắp mới như Acrid, SamsStealer, ScarletStealer và Waltuhium Grabber, cũng như các bản cập nhật cho những phần mềm hiện có như SYS01stealer (còn gọi là Album Stealer hoặc S1deload Stealer).
Sự phát triển này diễn ra khi các nhà nghiên cứu phát hiện ra một trojan ngân hàng Android mới có tên Antidot, đã ngụy trang dưới dạng bản cập nhật Google Play nhằm tạo điều kiện cho việc đánh cắp thông tin bằng cách lạm dụng khả năng truy cập và các API MediaProjection của Android.
Symantec thuộc sở hữu của Broadcom cho biết: “Antidot có khả năng ghi nhật ký gõ phím, tấn công overlay, trích xuất tin nhắn SMS, chụp màn hình, đánh cắp thông tin xác thực, kiểm soát thiết bị và thực thi các lệnh nhận được từ những kẻ tấn công”.
Theo Tạp chí An toàn thông tin
