Cuộc tấn công từ mã độc Windows GravityRAT đến các thiết bị macOS và Android

763
05-01-2021
Cuộc tấn công từ mã độc Windows GravityRAT đến các thiết bị macOS và Android

Theo Bizfly Cloud chia sẻ sau hơn 2 năm "im hơi lặng tiếng", mã độc Windows GravityRAT do nhóm Pakistan thiết kế để xâm nhập vào máy tính đã cải tiến hơn và nhắm đến mục tiêu là các thiết bị Android, macOS.

Mã độc GravityRAT 

Theo như công ty an ninh mạng Kaspersky, mã độc có tên "GravityRAT" hiện đang giả mạo những ứng dụng Android và macOS. Mục đích để thu thập dữ liệu thiết bị, địa chỉ email, danh sách liên hệ, nhật ký cuộc gọi và tin nhắn của người dùng. Sau đó chuyền chúng đến một máy chủ do kẻ tấn công kiểm soát.

Vào tháng 8 năm 2017, Trung tâm ứng cứu khẩn cấp không gian mạng Ấn Độ (CERT-In) lần đầu tiên đã ghi nhận trường hợp này. Tiếp theo vào tháng 4 năm 2018, Cisco Talos đã ghi nhận rằng mã độc GravityRAT nhắm mục tiêu vào các cơ quan và tổ chức Ấn Độ. Thông qua các tài liệu Microsoft Office Word có chứa mã độc kể từ năm 2015.

Theo Cisco, nhóm Pakistan đã phát triển ít nhất là bốn phiên bản khác nhau của công cụ gián điệp. Có thể thấy rằng "kẻ tấn công đã khá thông minh khi giữ cho cơ sở hạ tầng của mình an toàn và tránh để nó bị đưa vào danh sách đen của các nhà cung cấp giải pháp bảo mật."

Những phiên bản khác của GravityRAT đang được phát tán

Trong năm ngoái, mốt số thông tin cho rằng gián điệp người Pakistan đã sử dụng các tài khoản Facebook giả để tiếp cận với hơn 98 quan chức. Gồm các tổ chức và lực lượng quốc phòng của Ấn Độ như Quân đội, Không quân và Hải quân Ấn Độ. Bước tiếp theo, gián điệp người Pakistan đã lừa họ cài đặt một mã độc được ngụy trang dưới dạng ứng dụng tin nhắn bảo mật có tên là Whisper.

Cuộc tấn công từ mã độc Windows GravityRAT đến các thiết bị macOS và Android - Ảnh 1.

Mặc dù phiên bản mới nhất của mã độc GravityRAT đã vượt ra ngoài khả năng phát hiện của các phần mềm diệt mã độc và có thể triển khai tấn công đa nền tảng (trên cả Android và macOS), thì cách thức hoạt động của nó vẫn được giữ nguyên.

Mã độc GravityRAT vẫn thực hiện lây nhiễm qua việc gửi các đường link độc hại dẫn tới các ứng dụng Android. Những cái bẫy như Travel Mate Pro, hay các ứng dụng macOS giả mạo như Enigma, Titanium.

Kaspersky cho biết:"đã tìm thấy hơn 10 phiên bản mã độc GravityRAT đang được phát tán dưới vỏ bọc của các ứng dụng hợp pháp. Bằng cách thực hiện tham chiếu chéo các địa chỉ máy chủ C2 mà trojan này sử dụng."

Cảnh báo những nguy cơ từ mã độc GravityRAT

Có thể thấy rằng những ứng dụng bị trojan hóa trải dài trên các danh mục từ chia sẻ file, du lịch, trình phát đa phương tiện và truyện tranh dành cho người lớn trên nền tảng Android, macOS và Windows.

Từ đó, kẻ tấn công có thể thu thập thông tin hệ thống, tài liệu, danh sách trên các tiến trình đang chạy và ghi lại các thao tác bàn phím, chụp ảnh màn hình hoặc thậm chí có thể thực hiện các lệnh Shell tùy ý.

Chuyên gia bảo mật Tatyana Shishkova của Kaspersky cho biết: "Cuộc điều tra của chúng tôi đã cho thấy kẻ đứng sau mã độc GravityRAT đang nỗ lực đầu tư vào năng lực gián điệp cho mã độc này,"

"Sự ngụy trang khéo léo và việc mở rộng tấn công đa hệ điều hành của mã độc GravityRAT không chỉ dự báo những nguy cơ tiềm ẩn của mã độc này trong khu vực APAC, mà nó còn làm vững mạnh thêm quan điểm tập trung cải tiến mã độc đã có trước đó và tích hợp nó với nhiều khả năng nhất có thể, thay vì bỏ công sức phát triển một loại mã độc mới."

Theo BizFly Cloud

BizFly Cloud là nhà cung cấp dịch vụ điện toán đám mây với chi phí thấp nhất, được vận hành bởi VCCorp.

BizFly Cloud là một trong 4 doanh nghiệp nòng cốt trong "Chiến dịch thúc đẩy chuyển đổi số bằng công nghệ điện toán đám mây Việt Nam" của Bộ TT&TT; đáp ứng đầy đủ toàn bộ tiêu chí, chỉ tiêu kỹ thuật của nền tảng điện toán đám mây phục vụ Chính phủ điện tử/chính quyền điện tử.

Độc giả quan tâm đến các giải pháp của BizFly Cloud có thể truy cập tại đây.

SHARE