Tin tức An toàn thông tin mạng tuần 14, năm 2023 (10/4-16/04)

24/04/2023 09:03 AM


  1. Google phát hành bản cập nhật Chrome khẩn cấp để khắc phục lỗ hổng zero-day đang bị khai thác

Google đã phát hành các bản cập nhật khẩn cấp để giải quyết một lỗ hổng zero-day đang bị khai thác trong thực tế trong trình duyệt web Chrome. Đây cũng là lỗi zero-day Chrome đầu tiên được Google xử lý kể từ đầu năm.

Có định danh CVE-2023-2033, lỗ hổng được xếp ở mức cao, liên quan đến lỗi nhầm lẫn kiểu (type confusion) trong công cụ : "Khi Ngày thuế của Mỹ đang đến gần, Microsoft đã phát hiện các cuộc tấn công lừa đảo nhắm vào các công ty kế toán và khai thuế để phát tán Remcos RAT và xâm phạm các mạng mục tiêu kể từ tháng 2 năm nay".

Chiến dịch lừa đảo bắt đầu bằng các email giả làm khách hàng gửi các tài liệu cần thiết để hoàn tất việc trả lại hàng của họ.

Một email lừa đảo mà Microsoft đọc được có nội dung: "Tôi xin lỗi vì đã không trả lời sớm hơn; tờ khai thuế cá nhân của chúng tôi sẽ đơn giản và không làm mất nhiều thời gian của bạn".

"Tôi tin rằng bạn sẽ yêu cầu một bản sao các tài liệu năm gần đây nhất của chúng tôi, chẳng hạn như W-2, 1099, thế chấp, tiền lãi, khoản đóng góp, đầu tư y tế, HAS,.. mà tôi đã tải lên bên dưới".

Những email lừa đảo này chứa các liên kết sử dụng các dịch vụ theo dõi lần nhấp để tránh bị phần mềm bảo mật phát hiện và chuyển hướng người dùng đến một trang web lưu trữ tệp ZIP.

Tệp ZIP này chứa nhiều tệp giả dạng tệp PDF cho các biểu mẫu thuế khác nhau nhưng thực chất là các tệp shortcut (lnk) của (C2).

Trong một báo cáo được công bố vào tuần trước, công ty bảo mật Uptycs cho biết “Zaraza bot nhắm mục tiêu vào một số lượng lớn trình duyệt web và đang được phát tán chủ yếu trên kênh Telegram của một tin tặc Nga”.

"Sau khi mã độc được lây nhiễm vào máy tính nạn nhân, nó sẽ lấy cắp dữ liệu nhạy cảm và gửi đến máy chủ Telegram mà kẻ tấn công kiểm soát".

Bot Zaraza được thiết kế để nhắm mục tiêu tới 38 trình duyệt web khác nhau, bao gồm Google Chrome, Microsoft Edge, Opera, AVG Browser, Brave, Vivaldi và Yandex. Nó còn có khả năng chụp ảnh màn hình của cửa sổ đang hoạt động.

Đây là ví dụ mới nhất về phần mềm độc hại có khả năng thu thập thông tin đăng nhập của các tài khoản ngân hàng trực tuyến, ví tiền điện tử, tài khoản email và tài khoản các trang web khác được cho là có giá trị đối với kẻ tấn công.

Thông tin đăng nhập bị đánh cắp gây ra rủi ro nghiêm trọng vì chúng không chỉ cho phép những kẻ đe dọa có quyền truy cập trái phép vào tài khoản của nạn nhân mà còn thực hiện hành vi trộm cắp danh tính và gian lận tài chính.

Bằng chứng do Uptycs thu thập được chỉ ra rằng bot Zaraza đang được cung cấp như một công cụ thương mại cho các tội phạm mạng khác. Hiện tại vẫn chưa xác định được cách thức lây lan mã độc này nhưng tin tặc thường sử dụng một số phương pháp như quảng cáo độc hại và social engineering để đạt được điều này.

Những phát hiện này được đưa ra khi Cơ quan giám sát mối đe dọa (TRU) của eSentire tiết lộ về chiến dịch GuLoader nhắm vào lĩnh vực tài chính thông qua email lừa đảo bằng cách sử dụng các ‘mồi nhử’ có chủ đề về thuế để phát tán các mã độc đánh cắp thông tin và trojan truy cập từ xa như Remcos.

Công ty bảo mật của Nga, Kaspersky, cũng đã cảnh báo về việc các phần mềm crack được tải từ BitTorrent hoặc OneDrive đã bị ‘trojan hóa’ để triển khai CueMiner, một công cụ dùng để cài đặt công cụ khai thác tiền điện tử SilentCryptoMiner.

Để giảm thiểu rủi ro bắt nguồn từ phần mềm độc hại đánh cắp thông tin, người dùng nên bật xác thực hai yếu tố (2FA) và áp dụng các bản cập nhật phần mềm và hệ điều hành ngay khi chúng có sẵ

  1. LockBit Ransomware đang nhắm mục tiêu đến các thiết bị macOS

Các tác nhân đe dọa đằng sau hoạt động của ransomware LockBit đã phát triển các công cụ mới có thể mã hóa các tệp trên các thiết bị chạy hệ điều hành macOS của Apple.

Phát hiện được báo cáo bởi MalwareHunterTeam vào cuối tuần qua, đây dường như là lần đầu tiên một nhóm ransomware lớn tạo ra một payload tấn công dựa trên macOS.

Các mẫu dữ liệu (sample) bổ sung do vx-underground xác định cho thấy biến thể macOS đã tồn tại từ ngày 11 tháng 11 năm 2022 và cố gắng tránh bị các công cụ chống phần mềm độc hại phát hiện cho đến nay.

LockBit, nhóm tội phạm mạng có liên kết với Nga đã hoạt động từ cuối năm 2019, đã phát hành hai bản cập nhật lớn cho công cụ mã hóa (locker) vào năm 2021 và 2022.

Theo thống kê do Malwarebytes công bố, LockBit là ransomware được sử dụng nhiều thứ hai vào tháng 3 năm 2023 sau Cl0p, với 93 cuộc tấn công thành công.

Phân tích phiên bản mới ("locker_Apple_M1_64"_) cho thấy phiên bản này vẫn đang trong quá trình hoàn thiện, dựa vào chữ ký không hợp lệ được ký vào tệp thực thi. Điều này có nghĩa là các biện pháp bảo vệ Gatekeeper của Apple sẽ ngăn nó thực thi ngay cả khi phiên bản đó được tải xuống và khởi chạy trên một thiết bị.

Theo nhà nghiên cứu bảo mật Patrick Wardle, payload ban đầu được thiết kế để nhắm mục tiêu đến các máy (SIP) và Chính sách minh bạch, sự đồng ý và kiểm soát (TCC), có thể giúp ngăn chặn việc thực thi mã trái phép và yêu cầu ứng dụng xin phép người dùng để truy cập các tệp và dữ liệu được bảo vệ.

“Điều này có nghĩa là nếu không có sự khai thác hoặc chấp thuận rõ ràng từ người dùng, các tệp của người dùng sẽ vẫn được bảo vệ”. "Vẫn còn một lớp bảo vệ bổ sung hoặc khả năng phát hiện có thể được đảm bảo".

Đại diện của LockBit cho biết rằng bộ mã hóa macOS "đang được tiếp tục phát triển", cho thấy phần mềm độc hại có khả năng gây ra mối đe dọa nghiêm trọng cho nền tảng.

Những phát hiện này là một dấu hiệu rõ ràng cho thấy các tác nhân đe dọa đang ngày càng nhắm đến các hệ thống macOS.

Người dùng phải luôn xem xét, kiểm tra cẩn thận trước khi cài đặt bất kỳ một phần mềm, ứng dụng mới nào trên thiết bị của mình, và chỉ nên cài đặt chúng từ các nguồn đáng tin cậy.

Trung tâm CNTT