 |
| Ảnh minh họa. Security Week |
Trình cài đặt giả mạo được ngụy trang tinh vi trên website chính thức
Phần mềm EmEditor do Emurasoft, Inc. (trụ sở tại Redmond, Mỹ) phát triển, là công cụ hiệu năng cao dành cho Windows, được sử dụng rộng rãi trong lập trình, chỉnh sửa văn bản và xử lý các tệp dung lượng lớn.
Trong thông báo sự cố an ninh đăng tải ngày 22/12, nhà phát triển EmEditor cho biết những người đã tải phần mềm thông qua nút “Download Now” trên trang chủ trong khoảng thời gian từ 18h39 ngày 19/12 đến 12h50 ngày 22/12 (giờ PT) có thể đã vô tình tải về trình cài đặt độc hại.
Theo Emurasoft, nếu người dùng tải trình cài đặt từ nút “Download Now” trong giai đoạn này, rất có thể tệp tải về không mang chữ ký số chính thức của hãng. Đây được coi là ước tính thận trọng và phạm vi ảnh hưởng thực tế có thể hẹp hơn.
Phân tích nội bộ của công ty cho thấy đường dẫn phía sau nút “Download Now” đã bị thay đổi, trỏ tới một tệp .msi độc hại được lưu trữ ở vị trí khác trên chính website EmEditor.
Tệp cài đặt giả mạo này có cùng tên và dung lượng tương đương bản chính thức, nhưng được ký số bằng chứng thư của một công ty khác. Khi người dùng chạy tệp, mã độc sẽ thực thi lệnh PowerShell nhằm tải về và kích hoạt payload từ một tên miền EmEditor giả mạo.
Mã độc thu thập dữ liệu diện rộng, chiếm đoạt ví điện tử
Công ty an ninh mạng Trung Quốc Qianxin đã tiến hành điều tra vụ việc và phát đi cảnh báo tới doanh nghiệp và cơ quan chính phủ, trong bối cảnh EmEditor có lượng người dùng lớn tại Trung Quốc.
Theo Qianxin, tệp .msi độc hại chứa tệp script thu thập thông tin hệ thống, cùng dữ liệu từ các thư mục Desktop, Documents và Downloads. Ngoài ra, mã độc còn nhắm tới cấu hình VPN, thông tin trình duyệt và thông tin đăng nhập Windows, cũng như tài khoản của nhiều ứng dụng phổ biến như Zoho Mail, Discord, Slack, Microsoft Teams, Zoom, WinSCP, PuTTY, Telegram và Steam.
Đặc biệt, mã độc có cơ chế kiểm tra ngôn ngữ hệ điều hành và sẽ tự dừng hoạt động nếu phát hiện hệ thống sử dụng ngôn ngữ của các quốc gia thuộc Liên Xô cũ hoặc Iran.
Sau khi thu thập dữ liệu, script độc hại tiếp tục cài đặt một tiện ích mở rộng trình duyệt mang tên “Google Drive Caching”, được mô tả là một mã độc đánh cắp thông tin hoàn chỉnh. Tiện ích này giúp duy trì sự tồn tại của mã độc và cho phép kẻ tấn công thu thập thông tin hệ thống, lịch sử duyệt web, dấu trang và cookie.
Không chỉ vậy, tiện ích còn có khả năng chiếm quyền clipboard, thay thế địa chỉ ví tiền mã hóa bằng địa chỉ do kẻ tấn công kiểm soát, ghi lại thao tác bàn phím và đánh cắp tài khoản quảng cáo Facebook.
Hiện Qianxin chưa đưa ra kết luận về tác nhân đứng sau vụ việc. Tuy nhiên, các dấu hiệu cho thấy đây nhiều khả năng là hoạt động của nhóm tội phạm mạng vì mục đích tài chính, chứ không phải là một chiến dịch APT do nhà nước bảo trợ nhưng lại có yếu tố địa chính trị. Giới chuyên gia cảnh báo rằng ranh giới giữa tội phạm mạng và các nhóm tấn công có yếu tố nhà nước đang ngày càng mờ nhạt.
An Lâm (Theo Security Week)
Bình luận