Cuộc tấn công này có tên gọi “SparkCat,” lấy tên từ một trong những thành phần của mã độc trong các ứng dụng bị nhiễm. Theo thông tin từ Kaspersky, riêng trên Google Play, các ứng dụng này đã được tải xuống hơn 242.000 lần. Điều đáng lưu ý là đây là trường hợp đầu tiên ghi nhận sự hiện diện của mã độc trong App Store của Apple, cho thấy mối đe dọa này không chỉ giới hạn trên một nền tảng mà đã lan ra cả các hệ điều hành khác nhau.

Sự độc hại của SDK này nằm ở việc nó được giấu kín dưới dạng một mô-đun phân tích, khiến các nhà phát triển ứng dụng không nhận ra rằng họ đang phát tán mã độc. Mã độc sử dụng một file cấu hình mã hóa được lưu trữ trên GitLab, cung cấp các lệnh và bản cập nhật hoạt động cho nó. Trên nền tảng iOS, mã độc được biết đến với các tên khác như “Gzip” hay “googleappsdk,” đồng thời sử dụng một mô-đun mạng dựa trên Rust để xử lý giao tiếp với các máy chủ điều khiển.

Mã độc này có khả năng phát hiện các cụm từ khôi phục bằng cách tìm kiếm hình ảnh trong thư viện của người dùng, thông qua việc sử dụng các từ khóa cụ thể. Cụ thể hơn, nó có khả năng phân biệt các ký tự từ các ngôn ngữ khác nhau, bao gồm tiếng Latinh, Hàn Quốc, Trung Quốc, và Nhật Bản. Thông qua sự nhộn nhạo này, mã độc sẽ tìm kiếm và thu thập thông tin quan trọng từ thiết bị của nạn nhân, và từ đó tải lên máy chủ điều khiển mà kẻ tấn công có quyền kiểm soát.

Danh sách các ứng dụng bị nhiễm bao gồm 18 ứng dụng Android và 10 ứng dụng iOS, trong đó nhiều ứng dụng vẫn còn khả dụng trên các cửa hàng ứng dụng. Một trong số những ứng dụng Android hiện đã bị gỡ bỏ nhưng trước đó đã được tải xuống hơn 50.000 lần là ChatAi. Nếu bạn vô tình tải xuống bất kỳ ứng dụng nào trong số này, việc đầu tiên bạn cần làm là gỡ bỏ chúng ngay lập tức và nên sử dụng một công cụ antivirus trên di động để quét tìm bất kỳ dấu vết nào còn sót lại. Đặc biệt, những ai sử dụng ví tiền điện tử cần chú ý đến thực hành lưu trữ các cụm từ khôi phục.

Việc lưu trữ cụm từ khôi phục trên các hình ảnh màu sắc nên được tránh xa. Bạn nên xem xét việc lưu trữ chúng trên phương tiện lưu trữ offline an toàn, thiết bị lưu trữ được mã hóa, hoặc trong các trình quản lý mật khẩu tự lưu trữ và không kết nối mạng. Những biện pháp này sẽ giúp bạn bảo vệ tài sản tiền điện tử của mình khỏi các cuộc tấn công mạng đang gia tăng hiện nay.

The post Google Play, Apple App Store phát hiện ứng dụng ăn trộm ví tiền điện tử appeared first on Nhật Phúc.

Theo báo cáo từ nhóm Unit 42 của Palo Alto Networks, mặc dù LLM không thể tự tạo ra mã độc hoàn toàn từ đầu, tội phạm mạng vẫn có thể sử dụng chúng để viết lại hoặc mã hóa các mã độc hiện có, khiến việc phát hiện trở nên khó khăn hơn. Thủ đoạn này khiến cho các hệ thống phân loại mã độc dễ bị lừa rằng một đoạn mã nguy hiểm thực chất là vô hại.

Các nhà cung cấp LLM đã nỗ lực thiết lập các rào chắn bảo mật để ngăn chặn việc sản sinh ra những sản phẩm không mong muốn. Tuy nhiên, các tác nhân xấu vẫn có thể sử dụng các công cụ như WormGPT để tự động hóa quá trình tạo ra các email lừa đảo hoặc phát triển mã độc mới. Vào tháng 10/2024, OpenAI đã tiết lộ chặn đứng hơn 20 hoạt động và mạng lưới đánh lừa cố gắng khai thác nền tảng của mình cho các mục đích như trinh sát, nghiên cứu lỗ hổng và viết kịch bản hỗ trợ.

Bằng cách sử dụng sức mạnh của LLM, Unit 42 đã thử nghiệm và viết lại từng mẫu mã độc sao cho có thể vượt qua các mô hình học máy (ML) như Innocent Until Proven Guilty (IUPG) hoặc PhishingJS, tạo ra đến 10,000 biến thể JavaScript mới mà không làm thay đổi chức năng ban đầu. Hệ thuật toán này thực hiện qua việc đổi tên biến, chia nhỏ chuỗi, thêm mã rác, loại bỏ khoảng trắng không cần thiết, và thậm chí viết lại hoàn toàn mã nguồn.

Hiệu quả đến kinh ngạc khi 88% thời gian, các mô hình phân loại mã độc đã bị đổi ngược từ “độc hại” thành “vô hại”. Đáng lo ngại hơn là các mã JavaScript được viết lại này có thể qua mặt cả những công cụ phân tích mã độc khi tải lên nền tảng VirusTotal.

Điều này càng trầm trọng hơn khi các biến thể mới trông tự nhiên hơn so với những biến thể sử dụng bằng thư viện như obfuscator.io, vốn dễ bị phát hiện hơn. Mặc dù AI có thể tạo ra mã độc theo cách này, nhưng các chuyên gia gợi ý rằng cùng một kỹ thuật này cũng có thể được sử dụng để cải thiện dữ liệu huấn luyện nhằm củng cố các mô hình ML.

Trong khi đó, một nhóm nghiên cứu từ Đại học North Carolina State đã phát triển một cuộc tấn công kênh phụ, gọi là TPUXtract, để thực hiện các cuộc tấn công đánh cắp mô hình trên Google Edge Tensor Processing Units (TPUs) với độ chính xác lên đến 99,91%. Điều này có thể bị khai thác để trộm cắp sở hữu trí tuệ hoặc thực hiện các cuộc tấn công mạng lớn hơn.

Cuộc tấn công “hộp đen” này chủ yếu khai thác các tín hiệu điện từ phát ra từ TPU khi thực hiện suy diễn mạng nơ-ron, tận dụng cường độ tính toán để suy ra các siêu tham số mô hình. Dù vậy, điều này yêu cầu kẻ tấn công phải có quyền truy cập vật lý vào thiết bị đích và có thiết bị đắt tiền để điều tra và thu thập dấu vết.

Khám phá các chiến lược phòng ngừa mối đe dọa, ngăn chặn mã độc mã hóa, và ngăn chặn mã độc tống tiền khỏi xâm nhập vào hệ thống của bạn. Hãy cùng khám phá các công cụ tiên tiến của DigiCert ONE để tự động hóa tuân thủ và bảo mật quy trình DevOps.

The post Mối nguy hiểm đến từ AI: Tạo ra 10,000 mã độc mới không thể phát hiện appeared first on Nhật Phúc.