Chiến dịch mới của tin tặc nhắm vào người dùng iPhone, lợi dụng trang web tin tức để cài đặt phần mềm gián điệp

www.tuoitre.vn -   30/03/2020 12:00:00 4401

Một chiến dịch tấn công watering-hole mới được phát hiện chuyên nhắm đến những người dùng iPhone ở Hồng Kông. Kẻ xấu sử dụng các trang tin tức địa phương làm mồi nhử để gián tiếp cài đặt phần mềm độc hại lên thiết bị.

Chiến dịch mới của tin tặc nhắm vào người dùng iPhone

Theo nghiên cứu được công bố bởi 2 công ty an ninh mạng là Trend Micro và Kaspersky, cuộc tấn công “Operation Poisoned News” (khai thác tin tức độc hại) tận dụng chuỗi khai thác iOS từ xa để triển khai một chương trình cài vào hệ thống đa tính năng tên là ‘LightSpy’ thông qua các đường link dẫn đến các trang web tin tức địa phương. Khi nhấp vào các đường link này, nó sẽ chạy payload của phần mềm độc hại và cho phép kẻ xâm nhập lọc dữ liệu nhạy cảm và thậm chí kiểm soát hoàn toàn thiết bị bị tấn công.

Các cuộc tấn công watering-hole thường giúp kẻ xấu gây hại cho nhóm người dùng bằng cách chèn vào các trang web mà nạn nhân đã truy cập. Sau đó chúng sẽ kết nối vào thiết bị của nạn nhân và tải phần mềm độc hại về máy.

Những nhóm tấn công APT được Kaspersky đặt tên là “TwoSail Junk”. Những kẻ này được cho là đang lợi dụng các lỗ hổng có trong iOS 12.1 và 12.2 thuộc các mẫu từ iPhone 6 đến iPhone X. Những cuộc tấn công được xác định lần đầu tiên vào ngày 10/1, sau đó được phát triển thêm nhiều tấn công hơn vào ngày 18/2.

Sử dụng các đường link độc hại để lừa nạn nhân cài đặt phần mềm gián điệp

Kẻ xấu sử dụng các đường link giả được đăng trên nhiều diễn đàn phổ biến với người dân Hồng Kông. CHúng có vỏ bọc là các đường link dẫn đến những tin tức khác nhau về các chủ đề như tình dục, clickbait hoặc tin tức liên quan đến đại dịch COVID-19.

Chiến dịch mới của tin tặc nhắm vào người dùng iPhone

Các URL có thể chuyển hướng đến các trang tin tức hợp pháp đã bị tấn công cũng như các trang web được thiết lập riêng cho chiến dịch này (ví dụ như đường link hxxps://appledaily.googlephoto[.]vip/news[.]html). Trong cả hai trường hợp, iframe ẩn sẽ được tải xuống và chạy mã độc.

Chiến dịch mới của tin tặc nhắm vào người dùng iPhone

Các nhà nghiên cứu cho biết “Các URL được sử dụng sẽ dẫn đến trang web độc hại do kẻ tấn công tạo ra, trong đó lần lượt chứa ba iframe chỉ vào các trang web khác nhau. Iframe duy nhất có thể nhìn thấy dẫn đến một trang web tin tức hợp pháp, làm cho người dùng lầm tưởng mình đang ở trang web thật. Một iframe vô hình được sử dụng để phân tích trang web. Iframe còn lại dẫn đến một trang web lưu trữ tập lệnh chính để khai thác trên iOS.”

Phần mềm độc hại khai thác một lỗ hổng “được vá âm thầm” trong Safari. Lỗi này khi được có trên trình duyệt sẽ dẫn đến việc khai thác lỗ hổng use-after-free của bộ nhớ (được gọi là CVE-2019-8605). Từ đó, kẻ tấn công có thể thực thi mã tùy ý với quyền root, cài đặt backdoor LightSpy độc quyền. Lỗi này đã được khắc phục trong iOS 12.3, macOS Mojave 10.14.5, tvOS 12.3 và watchOS 5.2.1.

Phần mềm gián điệp có khả năng thực thi các lệnh shell từ xa và kiểm soát hoàn toàn thiết bị. Nó cũng chứa nhiều mô-đun có thể tự động tải xuống cho phép lọc các dữ liệu như danh sách liên lạc, vị trí GPS, lịch sử kết nối Wifi, dữ liệu phần cứng, khóa bàn phím iOS, hồ sơ cuộc gọi, lịch sử trình duyệt Chrome và tin nhắn SMS.

Một động thái giám sát nhắm đến Đông Nam Á

Chiến dịch mới của tin tặc nhắm vào người dùng iPhone

Người ta nghi ngờ TwoSail Junk có thể được kết nối hoặc có cùng cách khai thác của “dmsSpy”. dmsSpy là một biến thể dùng trên Android của một phần mềm độc hại được phát tán năm ngoái thông qua các kênh của dịch vụ Telegram dưới vỏ bọc của các ứng dụng lịch biểu tình ở Hồng Kông.

Các nhà nghiên cứu nhận thấy “Các máy chủ command-and-control và máy chủ dowload của dmsSpy đã sử dụng cùng một tên miền (hkrevolution[.]club) như một trong những watering-hole được sử dụng bởi Poisoned News trên iOS”.

Sau khi cài đặt, các ứng dụng giả mạo thu thập và lọc các thông tin liên hệ, tin nhắn văn bản, vị trí của người dùng và tên của các tệp được lưu trữ.

Các nhà nghiên cứu của Kaspersky kết luận “Framework và cơ sở hạ tầng này là một ví dụ thú vị về cách tiếp cận nhanh để phát triển và triển khai framework ở Đông Nam Á,”.

Theo nhận định, thiết kế và chức năng của cuộc tấn công là khiến càng nhiều thiết bị di động bị tấn công càng tốt. Từ đó giám sát và bảo vệ cửa sau cho thiết bị.

Để giảm thiểu các mối đe dọa, mọi người cần cập nhật thiết bị của mình thường xuyên và tránh tải ứng dụng từ các nguồn trái phép trên Android.

Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Chuyên gia Kaspersky: Số lượng mã độc đà...

24/11/2022 08:00:00 64
Trong Quý 3/2022, các nhà nghiên cứu tại Kaspersky nhận thấy sự gia tăng mạnh mẽ của mã độc đào tiền...

Phần mềm độc hại Notorious Emotet quay t...

21/11/2022 08:00:00 19
Phần mềm độc hại khét tiếng Emotet đã quay trở lại với sức mạnh mới như một phần của chiến dịch mals...

Phát hiện ứng dụng Google Play Store độc...

11/11/2022 08:00:00 11
Google đã xóa hai ứng dụng Android độc hại mới đã được phát hiện trên Cửa hàng Play, một trong số đó...

Cập nhật bản Windows mới càng sớm càng t...

10/11/2022 08:00:00 15
Bản cập nhật hàng tháng mới nhất của Microsoft đã được phát hành và sửa lỗi cho những 68 lỗ hổng bảo...

Công cụ Facebook ẩn cho phép xoá email h...

09/11/2022 08:00:00 57
Facebook dường như đã âm thầm tung ra một công cụ cho phép người dùng xóa thông tin liên hệ của họ, ...

Nửa đầu 2022: Việt Nam ghi nhận tấn công...

08/11/2022 08:00:00 309
Mặc dù phần mềm độc hại thường nhắm vào dữ liệu cá nhân nhưng các tổ chức, doanh nghiệp với chính sá...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ