Vừa qua, nhà cung cấp thông tin tình báo và mối đe dọa Group_IB (Singapore) đã phát hiện ra 34 nhóm tin tặc của Nga đang phân phối mã độc Infostealer theo mô hình dịch vụ đánh cắp thông tin (Stealer-as-a-service), đây là một dạng biến thể của các dòng mã độc có chức năng thu thập các thông tin nhạy cảm lưu trữ trong trình duyệt, số thẻ thanh toán và thông tin đăng nhập ví tiền điện tử rồi gửi chúng đến các máy chủ do tin tặc kiểm soát.
Theo các nhà nghiên cứu của Group_IB, các nhóm tin tặc đã phát tán mã độc cho hơn 890 nghìn thiết bị của người dùng và đánh cắp hơn 50 triệu mật khẩu trong vòng 7 tháng đầu năm 2022. Con số này ghi nhận sự gia tăng 80% so với giai đoạn trước. Ngoài ra, các tin tặc cũng đã đánh cắp hơn 2,1 triệu tệp cookie, hơn 113 nghìn ví tiền điện tử và gần 104 nghìn thẻ tín dụng.
Tin tặc Nga sử dụng mã độc Raccoon và Redline Infostealer để thu thập các thông tin đăng nhập
Nhóm bảo vệ rủi ro kĩ thuật số Group_IB đã phát hiện ra rằng 34 nhóm tin tặc Nga đã triển khai mã độc Raccoon và RedLine để thu thập mật khẩu Steam, Roblox, Amazon, Paypal và các ví điện tử cùng các thông tin thẻ tín dụng. Trong đó, Paypal và Amazon là các mục tiêu lớn nhất, với 16% và 13% dữ liệu thông tin bị đánh cắp đều đến từ hai công ty này.
Bên cạnh đó, báo cáo còn cho thấy các tin tặc Nga đã tổ chức và điều phối các hoạt động tấn công của chúng trên nền tảng Telegram, với trung bình 200 thành viên hoạt động, chủ yếu là các tin tặc nghiệp dư (những kẻ lừa đảo trực tuyến cấp thấp) trước đây đã tham gia vào kế hoạch lừa đảo nổi tiếng Classiscam. Đáng chú ý, các nhóm tin tặc này phát tán mã độc thông qua các nhóm Telegram nói tiếng Nga, mặc dù mục tiêu của chúng nhắm đến các mục tiêu ở 111 quốc gia khác nhau, đa phần là Mỹ, Brazil, Ấn Độ, Đức và Indonesia.
Các dạng mã độc Infostealer phổ biến nhất được tin tặc Nga sử dụng
Các nhà nghiên cứu đã xếp hạng RedLine là mã độc phổ biến nhất với 34 nhóm tin tặc sử dụng biến thể này. Mã độc đánh cắp thông tin Raccoon đứng thứ 2 với khoảng cách khá lớn, chỉ với 8 nhóm tin tặc sử dụng. Trong khi các phần mềm đánh cắp tùy chỉnh đứng thứ 3 trong nhóm các phần mềm đánh cắp thông tin được sử dụng, trên thực tế chỉ có 3 nhóm tin tặc sử dụng.
Tuy nhiên, để khai thác và sử dụng RedLine và Raccoon, các tin tặc phải đánh đổi một phần dữ liệu thông tin đánh cắp và chia sẻ lợi nhuận mà chúng kiếm được cho các quản trị viên của nhóm Telegram mà chúng tham gia. Một số nhóm còn sử dụng tới 3 biến thể mã độc Infostealer, trong khi các nhóm khác thường chỉ dùng 1 biến thể. Theo các nhà nghiên cứu thì tin tặc có thể thuê các mã độc từ các diễn đàn dark web chỉ với 150-200 USD hàng tháng.
Bảo mật yếu kém của các hệ thống mạng dẫn đến sự gia tăng của Infostealer
Các nhà nghiên cứu của Group_IB cho biết với số lượng lớn đến hàng nghìn người tham gia vào các chiêu trò lừa đảo phổ biến Classiscam, đã buộc tin tặc phải sáng tạo ra nhiều phương thức để kiếm tiền trong lĩnh vực này, dẫn tới sự gia tăng và phát triển của mã độc Infostealer. Thêm vào đó, Group_IB đã cho rằng việc bảo mật lỏng lẻo là một trong những nguyên nhân dẫn đến sự gia tăng trong việc phân phối và phát tán Infostealer.
Các nhà nghiên cứu cho biết: “Tin tặc mới bắt đầu không cần phải có kiến thức kỹ thuật nâng cao, vì quy trình này hoàn toàn tự động và nhiệm vụ duy nhất của chúng là tạo một tệp có chức năng đánh cắp thông tin trong bot Telegram và hướng lưu lượng truy cập đến tệp đó. Tuy nhiên, đối với những nạn nhân có máy tính bị nhiễm các dạng mã độc đánh cắp này, hậu quả có thể rất thảm khốc”.
Các tin tặc Nga đã thiết lập hệ thống phân cấp dựa trên mô hình lừa đảo Classiscam. Ví dụ, quy trình điều phối được tự động hóa cao, các bot Telegram tạo ra nội dung độc hại, liên lạc giữa các thành viên và tất cả các hoạt động thu thập thông tin của chúng. Hơn nữa, các biến thể của Infostealer vẫn tiếp tục thực hiện các công việc nhỏ khác như điều hướng lưu lượng đến các nội dung độc hại để phân tán các mã độc sử dụng nhiều kĩ thuật như các bài đăng trên mạng xã hội, video của Youtube và các tệp độc hại. Các quy trình này bao gồm thêm các liên kết độc hại vào các mô tả trên Youtube, giả mạo các vé số trúng thưởng trên mạng xã hội và một số tệp NFT khác nhau để đánh lừa nạn nhân tải Infostealer. Các liên kết này thường hướng nạn nhân đến các trang web giả mạo các thương hiệu nổi tiếng để lấy lòng tin và tăng khả năng tải xuống mã độc.
Một khi đã thành công, tin tặc sẽ bán các thông tin nhạy cảm của nạn nhân trên các diễn đàn dark web để lấy lợi nhuận. Theo đó, Group_IB đã ước tính rằng giá thị trường của các thông tin này khoảng 5.8 triệu USD. Nhóm nghiên cứu Group_IB khuyến khích mọi người nên từ bỏ thói quen lưu mật khẩu trên trình duyệt. Ngoài ra, cần làm “làm sạch” cookie của trình duyệt thường xuyên và tránh tải xuống các phần mềm không rõ nguồn gốc và đáng nghi ngờ.
Theo CPO magazine