Nhận diện phần mềm đánh cắp thông tin, cuộc gọi lừa đảo mạo danh Google Chrome, LastPass
Cục An toàn thông tin (Bộ Thông tin và Truyền thông) cảnh báo người dân cẩn thận với phần mềm độc hại mới 'Mamont' giả mạo Google Chrome để đánh cắp thông tin và những cuộc gọi, tin nhắn hoặc email đáng ngờ tự xưng đến từ LastPass (tiện ích quản lý mật khẩu của trình duyệt Chrome).
Phần mềm độc hại mới "Mamont" giả mạo Google Chrome để đánh cắp thông tin
Các nhà nghiên cứu tại McAfee đã bắt gặp một phiên bản mới của phần mềm độc hại Android XLoader phổ biến, có tên là "Mamont", ngụy trang thành trình duyệt web phổ biến - Google Chrome để lừa đảo đánh cắp thông tin như mật khẩu, văn bản, ảnh và danh bạ.
Phần mềm độc hại thường được phân phối bởi thư rác và tin nhắn lừa đảo. Sau khi cài đặt, ứng dụng sẽ tự động mở và yêu cầu người dùng cung cấp các quyền khác nhau như thực hiện và quản lý cuộc gọi điện thoại, gửi và nhận tin nhắn.
Nếu người dùng không nghi ngờ cấp các quyền này, nó sẽ hiển thị thông báo cho chủ sở hữu thiết bị nói rằng họ được chọn để nhận giải thưởng tiền mặt. Người dùng để nhận được giải thưởng, chỉ cần cung cấp số điện thoại và số thẻ tín dụng trên phần mềm. Sau khi hoàn tất, phần mềm độc hại sau đó sẽ hiển thị một lời nhắc khác yêu cầu người dùng không xóa ứng dụng trong 24 giờ tới.
Vì Mamont có quyền truy cập để gửi và nhận SMS, sau đó nó quét hộp thư đến của bạn để tìm các tin nhắn có liên quan đến ứng dụng ngân hàng của bạn. Những tin nhắn bí mật này sau đó được gửi đến kênh Telegram do các tác nhân đe dọa kiểm soát, nơi thông tin nhạy cảm như mã 2FA được sử dụng để thực hiện hành vi gian lận ngân hàng và rút tiền từ tài khoản ngân hàng của bạn.
Hiện tại, phần mềm độc hại chỉ nhắm mục tiêu vào những người nói tiếng Nga, nhưng sẽ không mất nhiều thời gian để các tác nhân đe dọa đằng sau Mamont nhắm mục tiêu vào một nhân khẩu học khác.
Trước thông tin trên, Cục An toàn thông tin khuyến cáo người dân nên cẩn trọng trước các đường dẫn lạ, tuyệt đối không tải những phần mềm không uy tín, không rõ nguồn gốc để tránh trở thành nạn nhân của chiêu trò đánh cắp thông tin cá nhân và cài cắm mã độc. Đồng thời, tuyệt đối không cung cấp thông tin cá nhân nhạy cảm (số căn cước công dân, số thẻ tín dụng, số tài khoản ngân hàng, mã OTP,...) dưới mọi hình thức.
Ngoài ra, vì phần mềm độc hại có cùng biểu tượng với Chrome, nên nó khiến người dùng khó phân biệt giữa hai phần mềm độc hại. Tuy nhiên, phần mềm độc hại được cài đặt dưới dạng "Google Chrome" thay vì chỉ "Chrome" và có viền đen bao quanh biểu tượng như có thể thấy trong hình trên. Để giữ an toàn trước các virus Android như vậy, tất cả những gì bạn cần làm là tránh tải xuống và cài đặt ứng dụng từ các nguồn không đáng tin cậy và gắn bó với các ứng dụng chính thức như Cửa hàng Google Play. Đồng thời, khi bạn cài đặt bất kỳ ứng dụng nào, hãy đảm bảo chú ý đến các quyền mà nó yêu cầu.
Tội phạm mạng giả danh nhân viên LastPass để lừa đảo hack kho mật khẩu
LastPass (tiện ích quản lý mật khẩu của trình duyệt Chrome) cũng đang cảnh báo về một chiến dịch độc hại nhắm mục tiêu người dùng của mình bằng bộ công cụ lừa đảo CryptoChameleon có liên quan đến hành vi trộm cắp tiền điện tử.
Theo các nhà nghiên cứu tại công ty bảo mật di động Lookout, các chiến dịch sử dụng bộ công cụ lừa đảo này cũng nhắm mục tiêu vào các nền tảng tiền điện tử Binance, Coinbase, Kraken và Gemini, sử dụng các trang mạo danh Okta, Gmail, iCloud, Outlook, Twitter, Yahoo và AOL.
Trong quá trình điều tra, LastPass phát hiện ra rằng dịch vụ của họ gần đây đã được thêm vào bộ CryptoChameleon và một trang web lừa đảo đã được lưu trữ tại "help-lastpass [.] com" tên miền.
Đối tượng tấn công sử dụng nhiều kỹ thuật tinh vi (điển hình là lừa đảo bằng giọng nói) để liên hệ với những nạn nhân tiềm năng, đồng thời giả mạo là nhân viên của LastPass đang cố gắng giúp bảo mật tài khoản sau khi truy cập trái phép.
Theo đó, nạn nhân nhận được cuộc gọi từ số 888 tuyên bố truy cập trái phép vào tài khoản LastPass của họ và được nhắc cho phép hoặc chặn quyền truy cập bằng cách nhấn "1" hoặc "2". Nếu họ chọn chặn quyền truy cập, họ sẽ nhận được cuộc gọi tiếp theo để giải quyết vấn đề. Cuộc gọi thứ hai đến từ một số giả mạo, trong đó người gọi, đóng giả là nhân viên LastPass, gửi email lừa đảo từ "support@lastpass" với liên kết đến trang web LastPass giả mạo.
Đối tượng yêu cầu nạn nhân nhập mật khẩu chính trên trang web này cho phép đối tượng thay đổi cài đặt tài khoản và khóa người dùng hợp pháp. Mặc dù trang web độc hại ngoại tuyến nhưng rất có khả năng các chiến dịch khác sẽ theo sau và các tác nhân đe dọa sẽ dựa vào các tên miền mới.
Trước thông tin trên, Cục An toàn thông tin khuyến cáo người dùng dịch vụ quản lý mật khẩu phổ biến cần cẩn thận với các cuộc gọi điện thoại, tin nhắn hoặc email đáng ngờ tự xưng là đến từ LastPass. Tuyệt đối không chia sẻ bất cứ thông tin cá nhân nào dưới mọi hình thức, không thực hiện theo yêu cầu và hướng dẫn của đối tượng khi chưa xác minh được danh tính.
Nếu gặp trường hợp như trên, người dùng cần báo cáo cho LastPass tại địa chỉ abuse@lastpass.com để được hỗ trợ.