Một nhóm tội phạm mạng nổi tiếng với việc nhắm mục tiêu vào các trang web thương mại điện tử đã tung ra một “chiến dịch độc hại nhiều giai đoạn” vào đầu năm nay được thiết kế với mục đích phân phối những kẻ đánh cắp thông tin và các trình đọc lướt thanh toán dựa trên JavaScript.
Trong một báo cáo mới được công bố ngày hôm nay và được chia sẻ với The Hacker News, công ty an ninh mạng Group-IB có trụ sở tại Singapore đã quy kết hoạt động của cùng một nhóm có liên quan đến một cuộc tấn công riêng biệt nhằm vào các thương gia trực tuyến sử dụng phần mềm độc hại đánh cắp mật khẩu để lây nhiễm các trang web của họ. Trình đánh hơi JavaScript FakeSecurity (Người đánh hơi JS).
Chiến dịch tiến triển thành bốn đợt, bắt đầu vào tháng 2 và kết thúc vào tháng 9, với việc các nhà điều hành dựa vào các trang lừa đảo được thiết kế đặc biệt và thu hút các tài liệu có chứa macro độc hại để tải những kẻ đánh cắp thông tin Vidar và Raccoon vào hệ thống của nạn nhân.
Các nhà nghiên cứu lưu ý, mục tiêu cuối cùng của cuộc tấn công là đánh cắp dữ liệu thanh toán và người dùng thông qua một số công cụ và vectơ tấn công để phân phối phần mềm độc hại.
Các trang web giả được tạo bằng Mephistophilus bộ lừa đảo, cho phép những kẻ tấn công tạo và triển khai các trang đích lừa đảo được thiết kế để phân phối phần mềm độc hại.
“Những kẻ tấn công đã gửi liên kết đến các trang giả mạo thông báo cho nạn nhân về một plugin bị thiếu được yêu cầu để hiển thị tài liệu chính xác”, các nhà nghiên cứu của Group-IB giải thích trong một phân tích về các chiến thuật của nhóm tội phạm mạng vào tháng 11 năm ngoái. “Nếu người dùng tải xuống plugin, máy tính của họ đã bị nhiễm phần mềm độc hại đánh cắp mật khẩu.”
Trong khi làn sóng đầu tiên của chiến dịch vào tháng 2 và tháng 3 phân phối trình đánh cắp mật khẩu Vidar để chặn mật khẩu từ các trình duyệt của người dùng và các ứng dụng khác nhau, các lần lặp lại tiếp theo chuyển sang trình đánh cắp Raccoon và AveMaria RAT để đáp ứng các mục tiêu của nó.
Gấu trúc, được ghi lại lần đầu tiên bởi Cybereason năm ngoái, đi kèm với một loạt các khả năng và giao tiếp với máy chủ lệnh và kiểm soát (C2) để hút dữ liệu – bao gồm ảnh chụp màn hình, thông tin thẻ tín dụng, ví tiền điện tử, mật khẩu trình duyệt được lưu trữ, email và chi tiết hệ thống.
Raccoon cũng độc đáo ở chỗ nó bỏ qua việc chặn các máy chủ C2 đang hoạt động bằng cách đưa ra yêu cầu đối với kênh Telegram (“Blintick”) để nhận địa chỉ được mã hóa của máy chủ C2, bên cạnh việc cung cấp hỗ trợ khách hàng 24 × 7 cho các câu hỏi của cộng đồng và nhận xét thông qua dịch vụ trò chuyện.
Ave Maria RAT, tương tự như vậy, có khả năng đảm bảo tính bền bỉ, ghi lại các lần gõ phím, tiêm mã độc và tách các tệp nhạy cảm, trong số những người khác.
Cả Vidar và Raccoon đều được bán dưới dạng phần mềm độc hại dưới dạng dịch vụ (MaaS) trên các diễn đàn ngầm. Giá thuê thiết bị đánh cắp Vidar dao động từ 250 đến 300 đô la mỗi tháng, trong khi loại thứ hai có giá 200 đô la một tháng để sử dụng.
Cùng với bốn giai đoạn được mô tả ở trên, Group-IB cũng quan sát thấy một giai đoạn tạm thời từ tháng 5 đến tháng 9 năm 2020, khi có tới 20 cửa hàng trực tuyến bị nhiễm một trình đánh hơi JS đã được sửa đổi của họ FakeSecurity.
Điều thú vị là, cơ sở hạ tầng được sử dụng để phân phát những kẻ đánh cắp Vidar và Raccoon đã được sử dụng lại để lưu trữ mã thám thính và thu thập dữ liệu thẻ ngân hàng bị đánh cắp, khiến các nhà nghiên cứu liên kết hai chiến dịch.
Sự phát triển là một dấu hiệu khác cho thấy đối thủ đang thúc đẩy nỗ lực của họ xâm phạm các thị trường trực tuyến để lấy cắp thông tin thanh toán của khách hàng, ngay cả khi các cơ quan thực thi pháp luật đang nỗ lực giải quyết tội phạm mạng.
Đầu tháng Giêng này, Interpol, hoạt động dựa trên bằng chứng pháp y kỹ thuật số từ Group-IB, thu hút được ba cá nhân được liên kết với một nhóm có tên “GetBilling“như một phần của chiến dịch có tên mã Night Fury để thực hiện một chiến dịch đánh hơi JS ở Indonesia.
