Trang web chuyên về tin tức an ninh mạng The Hacker News đăng tải bài phân tích cáo buộc một nhóm hacker nói tiếng Việt là tác giả của một mã độc mới phát tán gần đây.
Trang này dẫn lời từ các nhà nghiên cứu của Cisco Talos cho biết mã độc dựa trên Python có tên là PXA Stealer nhắm vào các thông tin nhạy cảm như thông tin đăng nhập tài khoản, VPN và FTP client, thông tin tài chính, cookie trình duyệt và dữ liệu từ các trò chơi.
Chương trình có khả năng giải mã mật khẩu chính của trình duyệt nạn nhân và sử dụng nó để đánh cắp thông tin đăng nhập được lưu trữ của nhiều tài khoản trực tuyến.
"PXA Stealer có khả năng giải mã mật khẩu chính của trình duyệt nạn nhân và sử dụng nó để đánh cắp thông tin đăng nhập đã lưu trữ của nhiều tài khoản trực tuyến khác nhau" - Nhóm chuyên gia nhận định.
 |
| Nhóm tin tặc tạo ra mã độc PXA Stealer bị nghi ngờ là người Việt. Ảnh: THN |
Sự liên kết với Việt Nam xuất phát từ các bình luận bằng tiếng Việt và tài khoản Telegram được mã hóa có tên Lone None trong chương trình mã độc đã sử dụng biểu tượng lá cờ Việt Nam.
Cisco Talos nói kẻ tấn công bán thông tin đăng nhập tài khoản Facebook, Zalo và SIM điện thoại trên kênh Telegram "Mua Bán Scan MINI" trước đó có liên quan đến một nhóm hacker có tên CoralRaider. Tài khoản Lone None cũng xuất hiện trong nhóm Telegram Việt Nam khác của CoralRaider tên là "Cú Black Ads - Dropship". Chưa rõ liệu hai nhóm tấn công này có liên quan trực tiếp hay hoạt động độc lập với nhau.
 |
| Phân tích của Cisco Talos về các thông tin mã độc này nhắm đến. Ảnh: THN |
Các nhà nghiên cứu nói các công cụ được chia sẻ trong nhóm hacker này là các chương trình được thiết kế để quản lý nhiều tài khoản người dùng, từ tạo hàng loạt tài khoản Hotmail, thu thập email và chỉnh sửa cookie Hotmail hàng loạt.
Các chương trình này được bán qua các trang tuyên bố cung cấp các công cụ hack miễn phí, với hướng dẫn sử dụng được chia sẻ qua các kênh YouTube. Những chuỗi tấn công dùng PXA Stealer khởi điểm bằng các email lừa đảo chứa tệp ZIP đính kèm. Khi thực thi, chương trình sẽ mở tài liệu giả mạo như đơn xin việc, đồng thời chạy lệnh PowerShell để tải và thực thi mã xâm nhập nhằm vô hiệu hóa chương trình diệt virus rồi triển khai mã độc đánh cắp thông tin.
Tuệ Minh (Theo THN)