English
日本語
한국어
简体中文
Một chủng mới đáng lo ngại của phần mềm độc hại “infostealer” đã xuất hiện, gia tăng mối đe dọa tội phạm mạng bằng cách tự động hóa một hình thức tống tiền tình dục đặc biệt xâm phạm. Phần gián điệp tinh vi này tích cực theo dõi trình duyệt web của người dùng để tìm kiếm nội dung người lớn, sau đó đồng thời chụp ảnh màn hình hoạt động và những bức ảnh tự nhiên của nạn nhân qua webcam của họ. Điều này đại diện cho một bước tiến đáng kể và gây bối rối trong việc xâm phạm quyền riêng tư kỹ thuật số.
Stealerium: Một Mức Độ Mới Của Gián Điệp Kỹ Thuật Số
Các nhà nghiên cứu bảo mật tại Proofpoint gần đây đã công bố một phân tích chi tiết về biến thể phần mềm độc hại mã nguồn mở này, được đặt tên là Stealerium. Kể từ tháng 5 năm nay, Proofpoint đã quan sát thấy Stealerium được triển khai trong nhiều chiến dịch tội phạm mạng, khiến nó trở thành một mối lo ngại ngày càng tăng cho an ninh trực tuyến.
Như các loại infostealer khác, Stealerium được thiết kế để xâm nhập vào máy tính của mục tiêu và rút trộm một loạt dữ liệu nhạy cảm, bao gồm thông tin ngân hàng quan trọng, tên người dùng, mật khẩu và khóa ví tiền điện tử. Tuy nhiên, Stealerium giới thiệu một tính năng đặc biệt làm mất mặt:
- Nó theo dõi tỉ mỉ trình duyệt của nạn nhân để tìm các địa chỉ web chứa từ khóa NSFW cụ thể.
- Khi phát hiện, nó ngay lập tức chụp ảnh màn hình các thẻ trình duyệt đang hoạt động.
- Đặc biệt, nó đồng thời kích hoạt webcam của nạn nhân, chụp ảnh họ trong khi họ đang xem nội dung bất hợp pháp.
- Tất cả các bức ảnh này sau đó được bí mật truyền cho hacker, cung cấp tài liệu mạnh mẽ để tống tiền và khai thác.
“Khi nói đến các loại infostealer, chúng thường tìm kiếm bất cứ thứ gì chúng có thể lấy được,” giải thích Selena Larson, một trong các nhà nghiên cứu Proofpoint tham gia vào phân tích. “Điều này thêm một lớp nữa của việc xâm phạm quyền riêng tư và thông tin nhạy cảm mà bạn chắc chắn không muốn nằm trong tay một hacker cụ thể.” Larson thêm một cách thẳng thừng, “Đó thật kinh khủng. Tôi ghét nó.”
Cách Phần Mềm Độc Hại Lan Truyền Và Hoạt Động
Proofpoint đã phát hiện Stealerium trong hàng chục nghìn email được điều phối bởi ít nhất hai nhóm hacker riêng biệt, cùng với các chiến dịch tấn công mạng dựa trên email khác nhau. Đáng chú ý, Stealerium được phân phối như một công cụ mã nguồn mở miễn phí dễ dàng có sẵn trên GitHub. Nhà phát triển của nó, được biết đến với tên “witchfindertr” và được mô tả là một “nhà phân tích phần mềm độc hại” có trụ sở tại London, tranh cãi tuyên bố trên trang rằng chương trình này chỉ dành cho “mục đích giáo dục,” từ chối mọi trách nhiệm về việc lạm dụng nó.
Tội phạm mạng thường dụ dỗ nạn nhân tải xuống và cài đặt Stealerium thông qua các thủ đoạn đánh lừa, chẳng hạn như yêu cầu thanh toán giả mạo hoặc hóa đơn gian lận được gửi qua đính kèm email hoặc liên kết web độc hại. Trong khi các công cụ giám sát của Proofpoint chủ yếu theo dõi các mục tiêu doanh nghiệp, phần mềm độc hại này đã được quan sát là nhắm vào các thực thể trong ngành dịch vụ lưu trú, giáo dục và tài chính, cho thấy một phạm vi rộng lớn có khả năng bao gồm cả người dùng cá nhân ngoài các ngành này.
Khi đã được cài đặt, Stealerium sử dụng các phương pháp infostealer tiêu chuẩn để lấy trộm dữ liệu, truyền nó cho hacker thông qua các dịch vụ như Telegram, Discord hoặc giao thức SMTP. Tuy nhiên, tính năng tống tiền tình dục tự động mới là thứ thực sự phân biệt nó. Nó quét các URL trình duyệt để tìm một danh sách có thể tùy chỉnh các thuật ngữ liên quan đến khiêu dâm (ví dụ: “sex”, “porn”) để kích hoạt việc đồng thời chụp ảnh từ webcam và trình duyệt. Mặc dù Proofpoint chưa xác định được các nạn nhân cụ thể của chức năng tống tiền này, sự tồn tại của nó mạnh mẽ ngụ ý rằng nó đang được triển khai trong các cuộc tấn công thực tế.
Mối Đe Dọa Tự Động Chưa Từng Có Trước Đây
Trong khi tống tiền tình dục thủ công, thường bao gồm việc lừa hoặc ép buộc nạn nhân chia sẻ nội dung khiêu dâm, đã là một yếu tố đáng lo ngại của tội phạm mạng từ lâu, thì bản chất tự động của việc giám sát webcam của Stealerium trong khi duyệt web riêng tư là “gần như chưa từng nghe thấy,” theo nhà nghiên cứu Proofpoint Kyle Cucci. Ông lưu ý rằng trường hợp duy nhất có thể so sánh liên quan đến một chiến dịch phần mềm độc hại năm 2019 nhắm vào người dùng nói tiếng Pháp, được ESET phát hiện.
Sự chuyển đổi này hướng đến tống tiền tình dục cá nhân tự động có thể thể hiện một xu hướng rộng lớn hơn giữa một số phe nhóm tội phạm mạng, đặc biệt là các nhóm cấp thấp. Họ dường như đang chuyển xa khỏi các chiến dịch phần mềm tống tiền quy mô lớn và mạng botnet dễ thấy, có xu hướng thu hút sự giám sát chặt chẽ của cơ quan thực thi pháp luật. Thay vào đó, họ đang chọn các chiến thuật cho phép họ kiếm tiền từ từng cá nhân một, thường nhắm vào những người có thể quá xấu hổ hoặc ngại ngùng để báo cáo những vi phạm quyền riêng tư cá nhân sâu sắc này cho các cơ quan chức năng.
“Đối với một hacker, không giống như bạn đang hạ gục một công ty trị giá hàng triệu đô la sẽ tạo ra sóng gió và có nhiều tác động theo sau,” Larson giải thích, so sánh các chiến thuật này với những yêu cầu chuộc hàng triệu đô la từ các tập đoàn. “Họ đang cố gắng kiếm tiền từ từng người một. Và có thể là những người có thể xấu hổ khi báo cáo một điều như vậy.”