VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã tiết lộ hai chiến dịch mới cung cấp tiện ích mở rộng trình duyệt giả mạo bằng cách sử dụng quảng cáo độc hại và trang web giả mạo để đánh cắp dữ liệu nhạy cảm.

Theo Bitdefender, chiến dịch quảng cáo độc hại này được thiết kế để quảng bá các tiện ích mở rộng trình duyệt giả mạo " Meta Verified " có tên SocialMetrics Pro, được cho là có thể mở khóa dấu tích xanh cho các tài khoản Facebook và Instagram. Ít nhất 37 quảng cáo độc hại đã được phát hiện đang sử dụng tiện ích mở rộng nói trên.


Nhà cung cấp an ninh mạng của Romania cho biết: "Các quảng cáo độc hại được đóng gói cùng với video hướng dẫn người xem cách tải xuống và cài đặt tiện ích mở rộng trình duyệt, được cho là có thể mở khóa dấu tích xác minh màu xanh trên Facebook hoặc các tính năng đặc biệt khác".

Nhưng trên thực tế, tiện ích mở rộng này – được lưu trữ trên một dịch vụ đám mây hợp pháp có tên là Box – có khả năng thu thập cookie phiên từ Facebook và gửi chúng đến bot Telegram do kẻ tấn công kiểm soát. Nó cũng được trang bị để lấy địa chỉ IP của nạn nhân bằng cách gửi truy vấn đến ipinfo[.]io/json.

Một số biến thể của tiện ích bổ sung trình duyệt giả mạo đã được phát hiện sử dụng cookie bị đánh cắp để tương tác với Facebook Graph API, có khả năng thu thập thêm thông tin liên quan đến tài khoản. Trước đây, phần mềm độc hại như NodeStealer đã lợi dụng Facebook Graph API để thu thập thông tin chi tiết về ngân sách của tài khoản.

Mục tiêu cuối cùng của những nỗ lực này là bán các tài khoản Facebook Business và Ads có giá trị trên các diễn đàn ngầm cho những kẻ lừa đảo khác để kiếm lời hoặc tái sử dụng chúng để thúc đẩy nhiều chiến dịch quảng cáo độc hại hơn, từ đó dẫn đến nhiều tài khoản bị chiếm đoạt hơn – thực sự tạo ra một chu kỳ tự duy trì.

Chiến dịch này phô bày tất cả "dấu vân tay" thường thấy ở các tác nhân đe dọa nói tiếng Việt, những kẻ được biết đến với việc sử dụng nhiều nhóm hacker khác nhau để nhắm mục tiêu và truy cập trái phép vào tài khoản Facebook. Giả thuyết này cũng được củng cố bởi việc sử dụng tiếng Việt để tường thuật hướng dẫn và thêm chú thích mã nguồn.

"Bằng cách sử dụng một nền tảng đáng tin cậy, kẻ tấn công có thể tạo hàng loạt liên kết, tự động nhúng chúng vào các hướng dẫn và liên tục làm mới các chiến dịch của chúng", Bitdefender cho biết. "Điều này phù hợp với một mô hình lớn hơn về việc kẻ tấn công đang công nghiệp hóa quảng cáo độc hại, nơi mọi thứ từ hình ảnh quảng cáo đến hướng dẫn đều được tạo ra hàng loạt."

Tiết lộ này trùng khớp với một chiến dịch khác nhắm vào các nhà quảng cáo Meta bằng tiện ích mở rộng Chrome giả mạo được phân phối thông qua các trang web giả mạo, giả danh là công cụ tối ưu hóa quảng cáo dựa trên trí tuệ nhân tạo (AI) cho Facebook và Instagram. Trung tâm của chiến dịch này là một nền tảng giả mạo có tên Madgicx Plus.

Cybereason cho biết : "Được quảng bá là công cụ giúp hợp lý hóa việc quản lý chiến dịch và tăng ROI bằng trí tuệ nhân tạo, tiện ích mở rộng này thực chất lại cung cấp các chức năng có khả năng gây hại, có khả năng chiếm đoạt các phiên làm việc, đánh cắp thông tin đăng nhập và xâm phạm tài khoản Meta Business".

"Các tiện ích mở rộng này được quảng cáo là công cụ tăng cường năng suất hoặc hiệu suất quảng cáo, nhưng chúng hoạt động như phần mềm độc hại có chức năng kép là đánh cắp thông tin đăng nhập, truy cập mã thông báo phiên hoặc cho phép chiếm đoạt tài khoản.

Các tiện ích mở rộng, tiện ích đầu tiên vẫn có thể tải xuống từ Chrome Web Store tại thời điểm viết bài, được liệt kê bên dưới:

    Madgicx Plus - Siêu ứng dụng dành cho nhà quảng cáo Meta (ID: eoalbaojjblgndkffciljmiddhgjdldh ) - Xuất bản vào tháng 2 năm 2025 (28 lượt cài đặt)
    Meta Ads SuperTool (ID: cpigbbjhchinhpamicodkkcpihjjjlia ) - Xuất bản vào tháng 3 năm 2025 (11 lượt cài đặt)
    Madgicx X Ads - Siêu ứng dụng dành cho nhà quảng cáo Meta (ID: cpigbbjhchinhpamicodkkcpihjjjlia ) - Xuất bản tháng 3 năm 2025 (3 lượt cài đặt)

Sau khi cài đặt, tiện ích mở rộng sẽ có toàn quyền truy cập vào tất cả các trang web mà người dùng truy cập, cho phép kẻ tấn công chèn các tập lệnh tùy ý, cũng như chặn và sửa đổi lưu lượng mạng, theo dõi hoạt động duyệt web, thu thập thông tin nhập vào biểu mẫu và thu thập dữ liệu nhạy cảm.

Nó cũng yêu cầu người dùng liên kết tài khoản Facebook và Google để truy cập dịch vụ, trong khi thông tin nhận dạng của họ bị thu thập một cách bí mật ở chế độ nền. Hơn nữa, các tiện ích bổ sung này hoạt động tương tự như tiện ích mở rộng Meta Verified giả mạo đã đề cập ở trên ở chỗ nó sử dụng thông tin đăng nhập Facebook bị đánh cắp của nạn nhân để tương tác với Facebook Graph API.

Cybereason cho biết: "Cách tiếp cận theo từng giai đoạn này cho thấy chiến lược rõ ràng của kẻ tấn công: đầu tiên là thu thập dữ liệu nhận dạng của Google, sau đó chuyển sang Facebook để mở rộng quyền truy cập và tăng khả năng chiếm đoạt các tài sản kinh doanh hoặc quảng cáo có giá trị".