Các tác nhân đe dọa đã tận dụng các trang web giả mạo quảng cáo phần mềm hội nghị truyền hình phổ biến như Google Meet, Skype và Zoom để cung cấp nhiều loại phần mềm độc hại nhắm vào cả người dùng Android và Windows kể từ tháng 12/2023.
"Tác nhân đe dọa đang phân phối Trojan truy cập từ xa (RAT) bao gồm SpyNote RAT cho nền tảng Android và NjRAT và DCRat cho các hệ thống Windows", các nhà nghiên cứu của Zscaler ThreatLabz cho biết.
Các trang web giả mạo bằng tiếng Nga và được lưu trữ trên các tên miền gần giống với các đối tác hợp pháp của chúng, cho thấy những kẻ tấn công đang sử dụng thủ thuật đánh máy để thu hút nạn nhân tiềm năng tải xuống phần mềm độc hại.
Họ cũng đi kèm với các tùy chọn để tải xuống ứng dụng cho các nền tảng Android, iOS và Windows. Trong khi nhấp vào nút để Android tải xuống tệp APK, nhấp vào nút ứng dụng Windows sẽ kích hoạt tải xuống tập lệnh hàng loạt.
Tập lệnh hàng loạt độc hại chịu trách nhiệm thực thi tập lệnh PowerShell, từ đó tải xuống và thực thi trojan truy cập từ xa.
Hiện tại, không có bằng chứng nào cho thấy tác nhân đe dọa đang nhắm mục tiêu đến người dùng iOS, vì việc nhấp vào nút cho ứng dụng iOS sẽ đưa người dùng đến danh sách Apple App Store hợp pháp cho Skype.
"Một tác nhân đe dọa đang sử dụng những mồi nhử này để phân phối RAT cho Android và Windows, có thể đánh cắp thông tin bí mật, đăng nhập tổ hợp phím và đánh cắp tệp", các nhà nghiên cứu cho biết.
Sự phát triển này diễn ra khi Trung tâm Tình báo Bảo mật AhnLab (ASEC) tiết lộ rằng một phần mềm độc hại mới có tên WogRAT nhắm vào cả Windows và Linux đang lạm dụng một nền tảng notepad trực tuyến miễn phí có tên aNotepad như một vectơ bí mật để lưu trữ và truy xuất mã độc.
Chuỗi tấn công liên quan đến việc sử dụng mã QR (hay còn gọi là quishing) để lừa đảo thông tin xác thực cũng như dựa vào bộ công cụ lừa đảo đối thủ trung gian (AiTM) của EvilProxy để vượt qua các biện pháp bảo vệ xác thực hai yếu tố (2FA).
Khi hộp thư đích bị xâm phạm, tác nhân đe dọa đã được quan sát tìm kiếm thông tin liên quan đến thanh toán, hóa đơn và thông tin ngân hàng, với mục tiêu cuối cùng là chiếm quyền điều khiển các chuỗi email hiện có và thực hiện gian lận hóa đơn.
Các chiến dịch lừa đảo cũng đã hoạt động như một ống dẫn cho các họ phần mềm độc hại khác như DarkGate, Agent Tesla và Remcos RAT, cuối cùng trong số đó tận dụng mồi nhử steganographic để thả phần mềm độc hại trên các máy chủ bị xâm nhập.