Chiến dịch mới của tin tặc nhắm vào người dùng iPhone, lợi dụng trang web tin tức để cài đặt phần mềm gián điệp

www.tuoitre.vn -   30/03/2020 12:00:00 4828

Một chiến dịch tấn công watering-hole mới được phát hiện chuyên nhắm đến những người dùng iPhone ở Hồng Kông. Kẻ xấu sử dụng các trang tin tức địa phương làm mồi nhử để gián tiếp cài đặt phần mềm độc hại lên thiết bị.

Chiến dịch mới của tin tặc nhắm vào người dùng iPhone

Theo nghiên cứu được công bố bởi 2 công ty an ninh mạng là Trend Micro và Kaspersky, cuộc tấn công “Operation Poisoned News” (khai thác tin tức độc hại) tận dụng chuỗi khai thác iOS từ xa để triển khai một chương trình cài vào hệ thống đa tính năng tên là ‘LightSpy’ thông qua các đường link dẫn đến các trang web tin tức địa phương. Khi nhấp vào các đường link này, nó sẽ chạy payload của phần mềm độc hại và cho phép kẻ xâm nhập lọc dữ liệu nhạy cảm và thậm chí kiểm soát hoàn toàn thiết bị bị tấn công.

Các cuộc tấn công watering-hole thường giúp kẻ xấu gây hại cho nhóm người dùng bằng cách chèn vào các trang web mà nạn nhân đã truy cập. Sau đó chúng sẽ kết nối vào thiết bị của nạn nhân và tải phần mềm độc hại về máy.

Những nhóm tấn công APT được Kaspersky đặt tên là “TwoSail Junk”. Những kẻ này được cho là đang lợi dụng các lỗ hổng có trong iOS 12.1 và 12.2 thuộc các mẫu từ iPhone 6 đến iPhone X. Những cuộc tấn công được xác định lần đầu tiên vào ngày 10/1, sau đó được phát triển thêm nhiều tấn công hơn vào ngày 18/2.

Sử dụng các đường link độc hại để lừa nạn nhân cài đặt phần mềm gián điệp

Kẻ xấu sử dụng các đường link giả được đăng trên nhiều diễn đàn phổ biến với người dân Hồng Kông. CHúng có vỏ bọc là các đường link dẫn đến những tin tức khác nhau về các chủ đề như tình dục, clickbait hoặc tin tức liên quan đến đại dịch COVID-19.

Chiến dịch mới của tin tặc nhắm vào người dùng iPhone

Các URL có thể chuyển hướng đến các trang tin tức hợp pháp đã bị tấn công cũng như các trang web được thiết lập riêng cho chiến dịch này (ví dụ như đường link hxxps://appledaily.googlephoto[.]vip/news[.]html). Trong cả hai trường hợp, iframe ẩn sẽ được tải xuống và chạy mã độc.

Chiến dịch mới của tin tặc nhắm vào người dùng iPhone

Các nhà nghiên cứu cho biết “Các URL được sử dụng sẽ dẫn đến trang web độc hại do kẻ tấn công tạo ra, trong đó lần lượt chứa ba iframe chỉ vào các trang web khác nhau. Iframe duy nhất có thể nhìn thấy dẫn đến một trang web tin tức hợp pháp, làm cho người dùng lầm tưởng mình đang ở trang web thật. Một iframe vô hình được sử dụng để phân tích trang web. Iframe còn lại dẫn đến một trang web lưu trữ tập lệnh chính để khai thác trên iOS.”

Phần mềm độc hại khai thác một lỗ hổng “được vá âm thầm” trong Safari. Lỗi này khi được có trên trình duyệt sẽ dẫn đến việc khai thác lỗ hổng use-after-free của bộ nhớ (được gọi là CVE-2019-8605). Từ đó, kẻ tấn công có thể thực thi mã tùy ý với quyền root, cài đặt backdoor LightSpy độc quyền. Lỗi này đã được khắc phục trong iOS 12.3, macOS Mojave 10.14.5, tvOS 12.3 và watchOS 5.2.1.

Phần mềm gián điệp có khả năng thực thi các lệnh shell từ xa và kiểm soát hoàn toàn thiết bị. Nó cũng chứa nhiều mô-đun có thể tự động tải xuống cho phép lọc các dữ liệu như danh sách liên lạc, vị trí GPS, lịch sử kết nối Wifi, dữ liệu phần cứng, khóa bàn phím iOS, hồ sơ cuộc gọi, lịch sử trình duyệt Chrome và tin nhắn SMS.

Một động thái giám sát nhắm đến Đông Nam Á

Chiến dịch mới của tin tặc nhắm vào người dùng iPhone

Người ta nghi ngờ TwoSail Junk có thể được kết nối hoặc có cùng cách khai thác của “dmsSpy”. dmsSpy là một biến thể dùng trên Android của một phần mềm độc hại được phát tán năm ngoái thông qua các kênh của dịch vụ Telegram dưới vỏ bọc của các ứng dụng lịch biểu tình ở Hồng Kông.

Các nhà nghiên cứu nhận thấy “Các máy chủ command-and-control và máy chủ dowload của dmsSpy đã sử dụng cùng một tên miền (hkrevolution[.]club) như một trong những watering-hole được sử dụng bởi Poisoned News trên iOS”.

Sau khi cài đặt, các ứng dụng giả mạo thu thập và lọc các thông tin liên hệ, tin nhắn văn bản, vị trí của người dùng và tên của các tệp được lưu trữ.

Các nhà nghiên cứu của Kaspersky kết luận “Framework và cơ sở hạ tầng này là một ví dụ thú vị về cách tiếp cận nhanh để phát triển và triển khai framework ở Đông Nam Á,”.

Theo nhận định, thiết kế và chức năng của cuộc tấn công là khiến càng nhiều thiết bị di động bị tấn công càng tốt. Từ đó giám sát và bảo vệ cửa sau cho thiết bị.

Để giảm thiểu các mối đe dọa, mọi người cần cập nhật thiết bị của mình thường xuyên và tránh tải ứng dụng từ các nguồn trái phép trên Android.

Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Đọc nhanh tài liệu Word với tính năng AI...

30/08/2024 12:00:00 45
Một tính năng mới rất hữu ích dành cho người dùng Word, cho phép xử lý các tài liệu dài dễ dàng hơn ...

Google tung bản vá bảo mật khẩn cấp cho ...

29/08/2024 12:00:00 45
Hãykiểm tra xem trình duyệt của mình đã tự động cập nhật lên phiên bản mới nhất chưa bằng cách mở cà...

Phần mềm độc hại Android mới NGate đánh ...

28/08/2024 08:00:00 44
Các nhà nghiên cứu an ninh mạng đã phát hiện ra phần mềm độc hại Android mới có thể chuyển tiếp dữ l...

Thời đại AI lên ngôi, ảnh chụp không hẳn...

28/08/2024 12:00:00 44
Với sự xuất hiện của AI, bất kỳ ai cũng có thể tạo ảnh giả với độ chân thực không kém chuyên gia pho...

Trung tâm siêu dữ liệu đang được Google ...

27/08/2024 12:00:00 32
Lý do khiến Google có thể lựa chọn xây trung tâm dữ liệu tại Việt Nam đến từ việc hãng kiếm được ngà...

Google cảnh báo về lỗ hổng bảo mật CVE-2...

26/08/2024 08:00:00 24
Google đã tiết lộ rằng một lỗ hổng bảo mật đã được vá như một phần của bản cập nhật phần mềm được tu...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ