Roaming Mantis ขยายและฝังสคริปต์ฟิชชิ่งและการขุด iOS

เบ็ดเตล็ดDec 19, 2021
click fraud protection

ตอนนี้มัลแวร์ Android ได้พัฒนาและใช้ภาษาต่างๆ ถึง 27 ภาษา

ภาพประกอบ Roaming Mantis

Roaming Mantis เป็นโทรจันธนาคารที่เรียกว่า XLoader และ MoqHao[1]. ก่อนหน้านี้มีผลเฉพาะกับอุปกรณ์ Android เท่านั้น เช่น สมาร์ทโฟน แท็บเล็ต ฯลฯ นักวิจัยระบุว่าโปรแกรมที่เป็นอันตรายนี้มีการใช้งานในบังคลาเทศ จีน อินเดีย เกาหลี และญี่ปุ่นเท่านั้น

อย่างไรก็ตาม ข่าวล่าสุดระบุว่า Roaming Mantis ได้รับการแปลเป็นภาษาอื่น ๆ มากกว่า 27 ภาษาและอัปเดตด้วยคุณสมบัติเพิ่มเติม[2]. ในปัจจุบัน โทรจันธนาคารนี้มุ่งเป้าไปที่ผู้คนจากยุโรปและตะวันออกกลาง รวมถึง:

  • บัลแกเรีย;
  • เช็ก;
  • ภาษาอังกฤษ;
  • ภาษาฮิบรู;
  • อาร์เมเนีย;
  • อิตาลี;
  • จอร์เจียน;
  • มาเลย์;
  • โปรตุเกส;
  • เซอร์โบ-โครเอเชีย;
  • ตากาล็อก;
  • ยูเครน;
  • จีนดั้งเดิม;
  • อาหรับ;
  • เบงกาลี;
  • เยอรมัน;
  • สเปน;
  • ฮินดี;
  • ชาวอินโดนีเซีย;
  • ญี่ปุ่น;
  • เกาหลี;
  • ขัด;
  • รัสเซีย;
  • ไทย;
  • ตุรกี;
  • เวียดนาม;
  • ภาษาจีนตัวย่อ

Suguru Ishimaru นักวิจัยด้านความปลอดภัยที่ Kaspersky Lab คิดว่าแฮกเกอร์ใช้มาตรฐาน เทคนิคการแปลข้อความเป็นภาษาต่าง ๆ โดยอัตโนมัติและแพร่เชื้อ ทั่วโลก[3]:

เราเชื่อว่าผู้โจมตีใช้วิธีง่ายๆ ในการแพร่เชื้อไปยังผู้ใช้มากขึ้น โดยการแปลชุดภาษาเริ่มต้นโดยใช้โปรแกรมแปลอัตโนมัติ

อาชญากรตั้งเป้าที่จะแพร่เชื้อไปยังอุปกรณ์ iOS เช่นกัน

ในขณะที่ไวรัส Roaming Mantis ได้รับการออกแบบมาสำหรับ Android เท่านั้น แต่ตอนนี้แฮกเกอร์ได้เปลี่ยนกลยุทธ์และกำหนดเป้าหมายอุปกรณ์ iOS[4]. ผู้เชี่ยวชาญอ้างว่าจุดประสงค์ของการกระทำดังกล่าวคือการแพร่กระจายการติดไวรัสไปทั่วโลก เนื่องจากการโจมตีแบบฟิชชิ่งบน iOS แบบใหม่ทำให้เหล่ามิจฉาชีพได้รับข้อมูลประจำตัวของผู้ใช้

จากการวิจัยพบว่าบริการ DNS ปลอมแก้ไขโดเมน hxxp://security.apple.com/ เป็น 172.247.116[.]155 IP ที่อยู่ซึ่งส่งผลให้มีการเปลี่ยนเส้นทางไปยังเว็บไซต์ฟิชชิ่งซึ่งดูคล้ายกับ Apple. ที่ถูกกฎหมายเป็นพิเศษ งาน. ดังนั้น ผู้คนจึงถูกหลอกให้ให้ข้อมูลที่ละเอียดอ่อนแก่อาชญากรโดยตรง

เว็บไซต์ปลอมยังได้รับการแปลเป็นภาษาต่างๆ ถึง 25 ภาษา และออกแบบมาเพื่อรวบรวมรายละเอียด Apple ID รวมถึงหมายเลขบัตรเครดิต วันหมดอายุ รหัส CVV การเข้าสู่ระบบ และรหัสผ่าน มีเพียงสองภาษาที่ขาดหายไป — จอร์เจียและเบงกาลี

Roaming Mantis ได้รับการอัปเดตเพื่อทำกิจกรรมการขุด crypto

ผู้เชี่ยวชาญได้วิเคราะห์รหัสของ Roaming Mantis และพบว่าขณะนี้สามารถใช้ประโยชน์จากทรัพยากรของคอมพิวเตอร์และขุด cryptocurrency เนื่องจากสคริปต์ของ Coinhive ถูกฝังลงในซอร์สโค้ด HTML[5]. เครื่องมือขุด Javascript นี้เพิ่งประสบความสำเร็จในหมู่แฮกเกอร์และถูกใช้อย่างแพร่หลายทั่วโลก

เมื่อผู้ใช้เชื่อมต่อกับหน้า Landing Page จากคอมพิวเตอร์แล้ว พลัง CPU ของผู้ใช้จะสามารถเข้าถึงได้โดย Web Miner ในทำนองเดียวกัน การใช้งาน CPU อาจเพิ่มขึ้นถึง 100% และทำให้พีซีเสียหายหรือประสิทธิภาพการทำงานลดลงอย่างมาก ในระยะยาว อุปกรณ์บางอย่างอาจใช้ไม่ได้ด้วยซ้ำ