Một phần mềm độc hại đánh cắp thông tin xác thực mới có tên Zaraza bot đang được chào bán trên Telegram đồng thời sử dụng dịch vụ nhắn tin phổ biến như một lệnh và kiểm soát (C2).
"Bot Zaraza nhắm mục tiêu vào một số lượng lớn các trình duyệt web và đang được phân phối tích cực trên một kênh tin tặc Telegram của Nga phổ biến với các tác nhân đe dọa", công ty an ninh mạng Uptycs cho biết trong một báo cáo được công bố vào tuần trước.
"Một khi phần mềm độc hại lây nhiễm vào máy tính của nạn nhân, nó sẽ lấy dữ liệu nhạy cảm và gửi nó đến máy chủ Telegram, nơi những kẻ tấn công có thể truy cập ngay lập tức."
Tệp nhị phân 64 bit được biên dịch bằng C #, bot Zaraza được thiết kế để nhắm mục tiêu tới 38 trình duyệt web khác nhau, bao gồm Google Chrome, Microsoft Edge, Opera, AVG Browser, Brave, Vivaldi và Yandex. Nó cũng được trang bị để chụp ảnh màn hình của cửa sổ đang hoạt động.
Đây là ví dụ mới nhất về phần mềm độc hại có khả năng nắm bắt thông tin đăng nhập được liên kết với tài khoản ngân hàng trực tuyến, ví tiền điện tử, tài khoản email và các trang web khác được coi là có giá trị đối với các nhà khai thác.
Thông tin đăng nhập bị đánh cắp gây ra rủi ro nghiêm trọng vì chúng không chỉ cho phép các tác nhân đe dọa truy cập trái phép vào tài khoản của nạn nhân mà còn thực hiện hành vi trộm cắp danh tính và gian lận tài chính.
Bằng chứng được thu thập bởi Uptycs chỉ ra rằng bot Zaraza được cung cấp như một công cụ thương mại cho các tội phạm mạng khác để đăng ký. Hiện tại vẫn chưa rõ phần mềm độc hại được lan truyền như thế nào, nhưng những kẻ đánh cắp thông tin thường tận dụng một số phương pháp như malvertising và kỹ thuật xã hội trong quá khứ.
Những phát hiện này được đưa ra khi Đơn vị Ứng phó Mối đe dọa (TRU) của eSentire tiết lộ một chiến dịch GuLoader (hay còn gọi là CloudEyE) nhắm mục tiêu vào lĩnh vực tài chính thông qua các email lừa đảo bằng cách sử dụng mồi theo chủ đề thuế để cung cấp những kẻ đánh cắp thông tin và trojan truy cập từ xa (RAT) như Remcos RAT.
Sự phát triển này cũng theo sau sự gia tăng đột biến trong các kỹ thuật độc hại và đầu độc công cụ tìm kiếm để phân phối số lượng ngày càng tăng của các họ phần mềm độc hại bằng cách lôi kéo người dùng tìm kiếm các ứng dụng hợp pháp tải xuống các trình cài đặt giả mạo có chứa tải trọng ăn cắp.
Công ty an ninh mạng Nga Kaspersky, trong một phân tích mới, đã tiết lộ việc sử dụng phần mềm bẻ khóa trojan được tải xuống từ BitTorrent hoặc OneDrive để triển khai CueMiner, một . Trình tải xuống dựa trên NET hoạt động như một ống dẫn để cài đặt một công cụ khai thác tiền điện tử được gọi là SilentCryptoMiner.
Để giảm thiểu rủi ro bắt nguồn từ phần mềm độc hại ăn cắp, người dùng nên bật xác thực hai yếu tố (2FA) và áp dụng các bản cập nhật phần mềm và hệ điều hành khi chúng có sẵn.