Malware Clipsa đánh cắp tiền điện tử thông qua các trang web WordPress bảo mật kém
Các nhà nghiên cứu đã phát hiện ra một chiến dịch malware mới đang tích cực diễn ra trong tự nhiên. Được xác định là Clipsa, về cơ bản là một malware khai thác và đánh cắp tiền điện tử (cryptostealer and cryptominer) nhắm vào các trang web WordPress không bảo mật.
Hơn nữa, malware này cũng thay thế các địa chỉ tiền điện tử từ clipboard – do đó mới có tên là ‘Clipsa’. Malware tiếp tục lây lan bằng cách quét thêm trên internet để tìm ra các trang web chứa lỗ hổng thông qua các máy tính bị nhiễm.
Malware Clipsa nhắm mục tiêu vào các trang WordPress
Các nhà nghiên cứu từ Avast đã phát hiện ra một chiến dịch malware
khổng lồ nhắm vào hàng ngàn PC trên toàn thế giới. Malware Clipsa liên quan đến
chiến dịch này chủ yếu nhắm vào tiền điện tử.
Nói về các hoạt động độc hại được thực hiện bởi malware này,
các nhà nghiên cứu cho biết Clipsa là một kẻ đánh cắp mật khẩu đa năng, được viết
bằng Visual Basic, tập trung vào việc đánh cắp tiền điện tử, tấn công brute-force
và đánh cắp thông tin quản trị viên từ các trang web WordPress không bảo mật,
thay thế địa chỉ tiền điện tử có trong clipboard và khai thác tiền điện tử trên
các máy bị nhiễm. Một số phiên bản của Clipsa cũng triển khai tính năng đào tiền
xu (coinminer) XMRig để kiếm thêm tiền từ các máy tính bị nhiễm.
Malware tiếp cận thiết bị nạn nhân bằng cách che giấu bản thân dưới dạng trình cài đặt codec pack độc hại cho media player. Nạn nhân thường vô tình tải về phần mềm độc hại cùng với player.
Bên cạnh đó, Clipsa cũng có thể nhắm mục tiêu vào các trang
web WordPress chứa lỗ hổng từ một PC bị lây nhiễm.
Phân tích cuộc tấn công
Sau khi tải xuống, tệp malware đa tham số sẽ cài đặt và thực
hiện các hoạt động trong những giai đoạn khác nhau. Trong trường hợp pha khởi đầu
không có các tham số cụ thể, các pha sau có tham số cụ thể sẽ gợi ý cho từng chức
năng.
Quá trình này bao gồm:
1. Khởi đầu – Không
có tham số. Trong giai đoạn này, phần mềm độc hại sẽ cài đặt và ẩn trên hệ thống,
đồng thời thực hiện các giai đoạn tiếp theo.
2. CLIPS
3. CLIPPS
4. WALLS
Các giai đoạn trên (2-4) nhằm mục tiêu đánh cắp dữ liệu liên
quan đến ví tiền điện tử của người dùng. Các hoạt động được thực hiện trong các
giai đoạn này bao gồm thay thế địa chỉ ví trên clipboard bằng đia chỉ của những
kẻ tấn công từ danh sách được xác định trước. Do đó, khi nạn nhân dán địa chỉ
ví của mình ở bất cứ đâu thì cũng đồng nghĩa với việc vô tình dán địa chỉ kẻ tấn
công ở đó.
5. PARSE
6. BRUTE
Hai giai đoạn trên liên quan đến việc thu thập dữ liệu cho
các trang web WordPress chứa lỗ hổng trên internet và tấn công brute-force để
đánh cắp thông tin của quản trị viên.
Logging
Những kẻ tấn công đứng đằng sau malware Clipsa dường như
cũng muốn phân tích các hoạt động của phần mềm độc hại, vì nó cũng liên quan đến
việc ghi chép nhật ký dữ liệu.
Các nhà nghiên cứu cho biết Clipsa tạo và sử dụng một tệp bổ
sung: C: Users user AppData Roaming AudioDG log.dat Tệp này được sử
dụng cho mục đích ghi chép nhật ký dữ liệu mà tác giả của malware có thể sử dụng
để gỡ lỗi Clipsa và lấy số liệu thống kê.
Các nhà nghiên cứu đã trình bày một phân tích kỹ thuật chi
tiết về phần mềm độc hại trong bài đăng trên blog của họ.
Chiến dịch malware đang hoạt động tích cực trong tự nhiên
Clipsa thu hút sự chú ý của các nhà nghiên cứu do các chiến
dịch tấn công tích cực trên khắp thế giới. Cụ thể, phần mềm độc hại đang nở rộ ở
Ấn Độ, sau đó đến Philippines và Brazil.
Trong khoảng thời gian một năm, các nhà nghiên cứu đã phát
hiện hàng ngàn thiết bị nạn nhân bị tấn công bởi phần mềm độc hại này.
Tổng cộng, Avast đã bảo vệ hơn 253.000 người dùng tránh khỏi
hơn 360.000 lần tấn công, kể từ ngày 1 tháng 8 năm 2018.
Để đảm bảo an toàn cho thiết bị, người dùng được khuyến nghị nên giữ cho hệ thống của mình được cập nhật thường xuyên với các chương trình chống phần mềm độc hại mạnh mẽ. Đầu năm nay, các nhà nghiên cứu cũng đã cảnh báo về một malware CookieMiner tương tự chủ yếu nhắm mục tiêu vào người dùng Mac.
LHN
The post Malware Clipsa đánh cắp tiền điện tử thông qua các trang web WordPress bảo mật kém appeared first on SecurityDaily .