Các tác nhân đe dọa đã được quan sát thấy sử dụng các trang web giả mạo là giải pháp chống vi-rút hợp pháp từ Avast, Bitdefender và Malwarebytes để truyền bá phần mềm độc hại có khả năng đánh cắp thông tin nhạy cảm từ các thiết bị Android và Windows.
"Lưu trữ phần mềm độc hại thông qua các trang web có vẻ hợp pháp là săn mồi đối với người tiêu dùng nói chung, đặc biệt là những người tìm cách bảo vệ thiết bị của họ khỏi các cuộc tấn công mạng", nhà nghiên cứu bảo mật Trellix Gurumoorthi Ramanathan cho biết.
Danh sách các trang web dưới đây -
- avast-securedownload[.] com, được sử dụng để phân phối trojan SpyNote dưới dạng tệp gói Android ("Avast.apk"), sau khi cài đặt, yêu cầu quyền xâm nhập để đọc tin nhắn SMS và nhật ký cuộc gọi, cài đặt và xóa ứng dụng, chụp ảnh màn hình, theo dõi vị trí và thậm chí khai thác tiền điện tử
- Ứng dụng Bitdefender[.] com, được sử dụng để cung cấp tệp lưu trữ ZIP ("setup-win-x86-x64.exe.zip") triển khai phần mềm độc hại đánh cắp thông tin Lumma
- Phần mềm độc hại[.] pro, được sử dụng để cung cấp tệp lưu trữ RAR ("MBSetup.rar") triển khai phần mềm độc hại đánh cắp thông tin StealC
Công ty an ninh mạng cho biết họ cũng phát hiện ra một tệp nhị phân Trellix giả mạo có tên là "AMCoreDat.exe" đóng vai trò là ống dẫn để thả một phần mềm độc hại đánh cắp có khả năng thu thập thông tin nạn nhân, bao gồm dữ liệu trình duyệt và trích xuất nó đến một máy chủ từ xa.
Sự phát triển này diễn ra khi các nhà nghiên cứu đã phát hiện ra một trojan ngân hàng Android mới có tên Antidot ngụy trang dưới dạng bản cập nhật Google Play để tạo điều kiện cho hành vi trộm cắp thông tin bằng cách lạm dụng khả năng truy cập của Android và API MediaProjection.
Hiện tại vẫn chưa rõ các trang web không có thật này được phân phối như thế nào, nhưng các chiến dịch tương tự trong quá khứ đã sử dụng các kỹ thuật như độc hại và tối ưu hóa công cụ tìm kiếm (SEO).
Phần mềm độc hại đánh cắp ngày càng trở thành mối đe dọa phổ biến, với tội phạm mạng quảng cáo nhiều biến thể tùy chỉnh với mức độ phức tạp khác nhau. Điều này bao gồm các trình đánh cắp mới như Acrid, SamsStealer, ScarletStealer và Waltuhium Grabber, cũng như các bản cập nhật cho những cái hiện có như SYS01stealer (hay còn gọi là Album Stealer hoặc S1deload Stealer).