Hiểu rò rỉ thông tin xác thực gần đây và sự gia tăng của phần mềm độc hại InfoStealer

Ý kiến của: Jimmy Su, Giám đốc bảo mật Binance

Mối đe dọa của phần mềm độc hại InfoStealer đang gia tăng, nhắm mục tiêu vào mọi người và tổ chức trong lĩnh vực tài chính kỹ thuật số và hơn thế nữa. InfoStealers là một loại phần mềm độc hại được thiết kế để trích xuất dữ liệu nhạy cảm từ các thiết bị bị nhiễm mà nạn nhân không biết. Điều này bao gồm mật khẩu, cookie phiên, chi tiết ví tiền điện tử và thông tin cá nhân có giá trị khác.

Theo Kaspersky, các chiến dịch phần mềm độc hại này đã rò rỉ hơn 2 triệu chi tiết thẻ ngân hàng vào năm ngoái. Và con số đó chỉ tăng lên.

Phần mềm độc hại như một dịch vụ

Các công cụ này có sẵn rộng rãi thông qua mô hình dịch vụ phần mềm độc hại. Tội phạm mạng có thể truy cập các nền tảng phần mềm độc hại tiên tiến cung cấp bảng điều khiển, hỗ trợ kỹ thuật và lọc dữ liệu tự động đến các máy chủ chỉ huy và kiểm soát với phí đăng ký. Sau khi bị đánh cắp, dữ liệu sẽ được bán trên các diễn đàn web đen, các kênh Telegram hoặc thị trường riêng tư.

Thiệt hại do nhiễm InfoStealer có thể vượt xa một tài khoản bị xâm nhập duy nhất. Thông tin đăng nhập bị rò rỉ có thể dẫn đến trộm cắp danh tính, gian lận tài chính và truy cập trái phép vào các dịch vụ khác, đặc biệt là khi thông tin đăng nhập được sử dụng lại trên các nền tảng

Gần đây: Các diễn viên D arkweb tuyên bố có hơn 100.000 Gemini, thông tin người dùng Binance

Dữ liệu nội bộ của Binance lặp lại xu hướng này. Trong vài tháng qua, chúng tôi đã xác định được sự gia tăng đáng kể về số lượng người dùng có thông tin đăng nhập hoặc dữ liệu phiên làm việc dường như đã bị xâm phạm bởi nhiễm InfoStealer. Những lây nhiễm này không bắt nguồn từ Binance nhưng ảnh hưởng đến các thiết bị cá nhân nơi thông tin đăng nhập được lưu trong trình duyệt hoặc tự động điền vào các trang web

Vectơ phân phối

Các vectơ phân phối phổ biến bao gồm:

• Email lừa đảo có tệp đính kèm hoặc liên kết độc hại.

• Tải xuống giả hoặc phần mềm từ các cửa hàng ứng dụng không chính thức.

• Các mod trò chơi và ứng dụng bị bẻ khóa được chia sẻ qua Discord hoặc Telegram.

• Tiện ích mở rộng trình duyệt độc hại hoặc tiện ích bổ sung.

Sau khi hoạt động, InfoStealers có thể trích xuất mật khẩu được lưu trữ trong trình duyệt, các mục nhập tự động điền, dữ liệu clipboard (bao gồm cả địa chỉ ví tiền điện tử) và thậm chí cả mã thông báo phiên cho phép kẻ tấn công mạo danh người dùng mà không cần biết thông tin đăng nhập của họ.

Những gì cần chú ý

Một số dấu hiệu có thể gợi ý nhiễm InfoStealer trên thiết bị của bạn:

• Thông báo hoặc tiện ích mở rộng bất thường xuất hiện trong trình duyệt của bạn.

• Cảnh báo đăng nhập trái phép hoặc hoạt động tài khoản bất thường.

• Thay đổi bất ngờ đối với cài đặt bảo mật hoặc mật khẩu.

Phân tích phần mềm độc hại InfoStealer

Trong 90 ngày qua, Binance đã quan sát thấy một số biến thể phần mềm độc hại nổi bật của InfoStealer nhắm vào người dùng Windows và macOS. RedLine, LumMac2, Vidar và AsyncRAT đã đặc biệt phổ biến đối với người dùng Windows

• RedLine Stealer được biết đến với việc thu thập thông tin đăng nhập và thông tin liên quan đến tiền điện tử từ các trình duyệt.

• LumMac2 là một mối đe dọa phát triển nhanh chóng với các kỹ thuật tích hợp để vượt qua các biện pháp bảo vệ trình duyệt hiện đại như mã hóa ràng buộc ứng dụng. Bây giờ nó có thể đánh cắp cookie và chi tiết ví tiền điện tử trong thời gian thực.

• Vidar Stealer tập trung vào việc trích xuất dữ liệu từ các trình duyệt và ứng dụng cục bộ, với khả năng đáng chú ý để nắm bắt thông tin đăng nhập ví tiền điện tử.

• AsyncRAT cho phép kẻ tấn công giám sát nạn nhân từ xa bằng cách ghi nhật ký tổ hợp phím, chụp ảnh màn hình và triển khai tải trọng bổ sung. Gần đây, tội phạm mạng đã tái sử dụng AsyncRAT cho các cuộc tấn công liên quan đến tiền điện tử, thu thập thông tin đăng nhập và dữ liệu hệ thống từ các máy Windows bị xâm nhập

Đối với người dùng macOS, Atomic Stealer đã nổi lên như một mối đe dọa đáng kể. Kẻ đánh cắp này có thể trích xuất thông tin đăng nhập của thiết bị bị nhiễm, dữ liệu trình duyệt và thông tin ví tiền điện tử. Được phân phối thông qua các kênh stealer-as-a-service, Atomic Stealer khai thác AppleScript gốc để thu thập dữ liệu, gây rủi ro đáng kể cho người dùng cá nhân và tổ chức sử dụng macOS. Các biến thể đáng chú ý khác nhắm mục tiêu macOS bao gồm Poseidon và Banshee

Tại Binance, chúng tôi phản ứng với những mối đe dọa này bằng cách giám sát các thị trường và diễn đàn dark web để tìm dữ liệu người dùng bị rò rỉ, cảnh báo người dùng bị ảnh hưởng, bắt đầu đặt lại mật khẩu, thu hồi các phiên bị xâm phạm và đưa ra hướng dẫn rõ ràng về bảo mật thiết bị và loại bỏ phần mềm độc hại.

Cơ sở hạ tầng của chúng tôi vẫn an toàn, nhưng việc đánh cắp thông tin đăng nhập từ các thiết bị cá nhân bị nhiễm là một rủi ro bên ngoài mà tất cả chúng ta phải đối mặt. Điều này làm cho việc giáo dục người dùng và vệ sinh mạng trở nên quan trọng hơn bao giờ hết.

Chúng tôi kêu gọi người dùng và cộng đồng tiền điện tử cảnh giác để ngăn chặn những mối đe dọa này bằng cách sử dụng các công cụ chống vi-rút và chống phần mềm độc hại và chạy quét thường xuyên. Một số công cụ miễn phí có uy tín bao gồm Malwarebytes, Bitdefender, Kaspersky, McAfee, Norton, Avast và Windows Defender. Đối với người dùng macOS, hãy cân nhắc sử dụng bộ công cụ chống phần mềm độc hại Objective-See

Các bản quét Lite thường không hoạt động tốt vì hầu hết các phần mềm độc hại tự xóa các tệp giai đoạn đầu khỏi sự lây nhiễm ban đầu. Luôn chạy quét toàn bộ đĩa để đảm bảo bảo vệ kỹ lưỡng.

Dưới đây là một số bước thực tế mà bạn có thể thực hiện để giảm khả năng tiếp xúc với điều này và nhiều mối đe dọa an ninh mạng khác:

• Bật xác thực hai yếu tố (2FA) bằng ứng dụng xác thực hoặc khóa phần cứng.

• Tránh lưu mật khẩu trong trình duyệt của bạn. Cân nhắc sử dụng trình quản lý mật khẩu chuyên dụng.

• Tải xuống phần mềm và ứng dụng chỉ từ các nguồn chính thức.

• Giữ hệ điều hành, trình duyệt và tất cả các ứng dụng của bạn được cập nhật.

• Định kỳ xem xét các thiết bị được ủy quyền trong tài khoản Binance của bạn và xóa các mục không quen thuộc.

• Sử dụng danh sách trắng địa chỉ rút tiền để giới hạn nơi có thể gửi tiền.

• Tránh sử dụng mạng WiFi công cộng hoặc không an toàn khi truy cập các tài khoản nhạy cảm.

• Sử dụng thông tin đăng nhập duy nhất cho mỗi tài khoản và cập nhật chúng thường xuyên.

• Thực hiện theo các bản cập nhật bảo mật và thực tiễn tốt nhất từ Binance và các nguồn đáng tin cậy khác.

• Ngay lập tức thay đổi mật khẩu, khóa tài khoản và báo cáo thông qua các kênh hỗ trợ chính thức của Binance nếu nghi ngờ nhiễm phần mềm độc hại.

Sự nổi bật ngày càng tăng của mối đe dọa InfoStealer là một lời nhắc nhở về việc các cuộc tấn công mạng đã trở nên tiên tiến và lan rộng như thế nào. Trong khi Binance tiếp tục đầu tư mạnh vào bảo mật nền tảng và giám sát web đen, việc bảo vệ tiền và dữ liệu cá nhân của bạn đòi hỏi phải có hành động từ cả hai bên.

Luôn cập nhật thông tin, áp dụng thói quen bảo mật và duy trì các thiết bị sạch sẽ để giảm đáng kể khả năng tiếp xúc với các mối đe dọa như phần mềm độc hại InfoStealer.

Ý kiến của: Jimmy Su, Giám đốc bảo mật Binance.

Bài viết này dành cho mục đích thông tin chung và không nhằm mục đích và không nên được coi là tư vấn pháp lý hoặc đầu tư. Các quan điểm, suy nghĩ và ý kiến được thể hiện ở đây chỉ là của tác giả và không nhất thiết phản ánh hoặc đại diện cho quan điểm và ý kiến của Cointelegraph