DanaBot là một loại mã độc mạnh mẽ được viết bằng Delphi với khả năng theo dõi thao tác bàn phím, chụp ảnh màn hình, quay video màn hình nền của nạn nhân, đánh cắp các tệp tin, đưa nội dung tùy ý vào trình duyệt web và triển khai phần mềm độc hại giai đoạn thứ hai. Mã độc này vận hành dựa trên nền tảng Malware-as-a-Service (MaaS), cho phép kẻ tấn công thực hiện nhiều cuộc tấn công mạng khác nhau. DanaBot triển khai một giao thức nhị phân tùy chỉnh được mã hóa bằng RSA 1.024 bit và AES 256 bit ở chế độ CBC. Các máy chủ điều khiển và ra lệnh (C2) được mã hóa cứng, nhưng Tor có thể được sử dụng làm kênh truyền thông dự phòng. Bài viết này sẽ cùng khám phá cơ chế hoạt động của dòng mã độc nguy hiểm này, dựa trên báo cáo của công ty bảo mật đám mây Zscaler (Mỹ).

Theo các phát hiện mới nhất từ Công ty an ninh mạng Trend Micro, trong khoảng thời gian từ tháng 7 đến tháng 9/2023, các cuộc tấn công bằng phần mềm độc hại DarkGate đã lạm dụng các tài khoản nhắn tin Skype và Teams bị xâm nhập để phân phối script loader VBA cho các tổ chức được nhắm mục tiêu, sau đó tải xuống và thực thi payload giai đoạn hai bao gồm script AutoIT chứa mã phần mềm độc hại DarkGate.

Vừa qua, các nhà nghiên cứu của nhóm bảo mật ThreatLabz tại công ty an ninh mạng Zscaler đã phát hiện ra mối đe dọa phần mềm độc hại dưới dạng dịch vụ (MaaS) mới có tên là “BunnyLoader”, đang được rao bán trên các diễn đàn tội phạm có thể đánh cắp và thay thế nội dung bộ nhớ đệm hệ thống.

Một phần mềm độc hại đánh cắp thông tin mới có tên là “MacStealer” đang nhắm mục tiêu vào hệ điều hành macOS của Apple, để thực hiện đánh cắp thông tin đăng nhập của người dùng được lưu trữ trong iCloud KeyChain và trình duyệt web, ví tiền điện tử và các tệp có khả năng nhạy cảm.

Trojan Android Xenomorph đã quay trở lại với phiên bản mới cùng các tính năng bổ sung và cải tiến để thực hiện các cuộc tấn công độc hại, bao gồm khung hệ thống chuyển tiền tự động (Automated Transfer System - ATS) và khả năng đánh cắp thông tin đăng nhập từ 400 ứng dụng ngân hàng khác nhau.