Phần mềm độc hại thay đổi địa chỉ tiền điện tử được ngụy trang trong các tiện ích bổ sung của Microsoft Office

Tội phạm mạng đang nhúng phần mềm độc hại thay thế địa chỉ ví tiền điện tử đã sao chép của người dùng bằng địa chỉ của họ trong các gói tiện ích mở rộng của Microsoft Office có sẵn trên các trang web lưu trữ phần mềm.

Các diễn viên độc hại đang sử dụng các tiện ích mở rộng giả của Microsoft Office được tải lên các trang web lưu trữ phần mềm để đánh cắp tiền điện tử. Những tiện ích này chứa phần mềm độc hại được biết đến với tên ClipBanker, thay thế địa chỉ ví tiền điện tử đã sao chép trên bảng tạm của người dùng bằng địa chỉ của kẻ tấn công.

ClipBanker nhắm vào những người dùng thường sao chép và dán địa chỉ ví tiền điện tử. Nếu thiết bị bị nhiễm, bất kỳ khoản tiền nào được gửi đến địa chỉ đã sao chép sẽ được chuyển hướng đến ví của kẻ tấn công.

Trang web của dự án lừa đảo trên trang lưu trữ được thiết kế để mô phỏng trang công cụ phát triển hợp pháp, hoàn chỉnh với các tiện ích bổ sung văn phòng và các nút tải xuống, và có thể xuất hiện trong kết quả tìm kiếm.

Chuỗi lây nhiễm của phần mềm độc hại cũng liên quan đến việc gửi thông tin thiết bị bị nhiễm, chẳng hạn như địa chỉ IP, quốc gia và tên người dùng, đến các hacker qua Telegram.

Ngoài ra, phần mềm độc hại có thể quét hệ thống bị nhiễm để kiểm tra các cài đặt trước đó hoặc phần mềm diệt virus và có thể tự xóa để tránh bị phát hiện.

Truy cập Hệ thống Có Thể Được Bán Cho Các Hacker Khác

Một số tệp trong tải xuống độc hại có kích thước đáng ngờ nhỏ, gây lo ngại vì các ứng dụng văn phòng thường lớn hơn, ngay cả khi được nén. Các tệp khác được bổ sung dữ liệu không cần thiết để có vẻ hợp pháp.

Các kẻ tấn công sử dụng nhiều phương pháp để đảm bảo truy cập vào hệ thống bị nhiễm, có thể được bán cho các diễn viên độc hại khác nguy hiểm hơn.

"Mục tiêu chính là đánh cắp tiền điện tử thông qua một thợ mỏ và ClipBanker, nhưng quyền truy cập vào hệ thống bị xâm nhập có thể được bán cho các diễn viên độc hại khác."

Giao diện của phần mềm độc hại bằng tiếng Nga, gợi ý rằng nó có thể nhắm vào người dùng nói tiếng Nga. Theo báo cáo, 90% số nạn nhân tiềm năng ở Nga, với 4.604 người dùng bị ảnh hưởng từ đầu tháng Giêng đến cuối tháng Ba.

Để tránh trở thành nạn nhân, nên tải phần mềm chỉ từ các nguồn đáng tin cậy, vì các chương trình lậu và các tùy chọn tải xuống thay thế có nguy cơ cao hơn.

Phân phối phần mềm độc hại ngụy trang dưới dạng phần mềm lậu là một chiến thuật phổ biến. Khi người dùng tìm cách tải ứng dụng bên ngoài các nguồn chính thức, các kẻ tấn công tạo ra các trang web có vẻ hợp pháp để phân phối phần mềm độc hại của họ.

Các công ty an ninh mạng khác cũng đã báo cáo về các loại phần mềm độc hại mới nhắm vào người dùng tiền điện tử, bao gồm một gia đình phần mềm độc hại mới có thể lừa người dùng Android tiết lộ cụm từ hạt giống tiền điện tử của họ bằng cách chiếm quyền điều khiển thiết bị của họ.

Theo Cointelegraph

Tin khác