Theo The Hacker News, các nhà nghiên cứu của Cisco Talos cho biết mã độc dựa trên Python có tên là PXA Stealer nhắm vào các thông tin nhạy cảm như thông tin đăng nhập tài khoản, VPN và FTP client, thông tin tài chính, cookie trình duyệt và dữ liệu từ các trò chơi.
Chương trình có khả năng giải mã mật khẩu chính của trình duyệt nạn nhân và sử dụng nó để đánh cắp thông tin đăng nhập được lưu trữ của nhiều tài khoản trực tuyến.
Sự liên kết với Việt Nam xuất phát từ các bình luận bằng tiếng Việt và tài khoản Telegram được mã hóa có tên Lone None trong chương trình mã độc đã sử dụng biểu tượng lá cờ Việt Nam.
Cisco Talos nói kẻ tấn công bán thông tin đăng nhập tài khoản Facebook, Zalo và SIM điện thoại trên kênh Telegram "Mua Bán Scan MINI" trước đó có liên quan đến một nhóm hacker có tên CoralRaider. Tài khoản Lone None cũng xuất hiện trong nhóm Telegram Việt Nam khác của CoralRaider tên là "Cú Black Ads - Dropship". Chưa rõ liệu hai nhóm tấn công này có liên quan trực tiếp hay hoạt động độc lập với nhau.
Các nhà nghiên cứu nói các công cụ được chia sẻ trong nhóm hacker này là các chương trình được thiết kế để quản lý nhiều tài khoản người dùng, từ tạo hàng loạt tài khoản Hotmail, thu thập email và chỉnh sửa cookie Hotmail hàng loạt. Các chương trình này được bán qua các trang tuyên bố cung cấp các công cụ hack miễn phí, với hướng dẫn sử dụng được chia sẻ qua các kênh YouTube.
Những chuỗi tấn công dùng PXA Stealer khởi điểm bằng các email lừa đảo chứa tệp ZIP đính kèm. Khi thực thi, chương trình sẽ mở tài liệu giả mạo như đơn xin việc, đồng thời chạy lệnh PowerShell để tải và thực thi mã xâm nhập nhằm vô hiệu hóa chương trình diệt virus rồi triển khai mã độc đánh cắp thông tin.
PXA Stealer cũng đánh cắp cookie Facebook để xác thực và tương tác với Facebook Ads Manager cùng Graph API nhằm thu thập thêm dữ liệu liên quan đến quảng cáo.
Theo Loan Chi (TNO/Ảnh: CHỤP MÀN HÌNH)
