VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch quảng cáo độc hại đang lạm dụng nền tảng quảng cáo của Meta và chiếm đoạt tài khoản Facebook để phát tán thông tin có tên gọi là SYS01stealer.

"Những tin tặc đứng sau chiến dịch này sử dụng các thương hiệu đáng tin cậy để mở rộng phạm vi tiếp cận của chúng", Bitdefender Labs cho biết trong báo cáo chia sẻ với The Hacker News.


1. Quảng cáo độc hại chiếm đoạt tài khoản Facebook để phát tán mã độc SYS01stealer

"Chiến dịch quảng cáo độc hại này tận dụng gần một trăm tên miền độc hại, không chỉ để phân phối phần mềm độc hại mà còn cho các hoạt động chỉ huy và kiểm soát (C2) trực tiếp, cho phép kẻ tấn công quản lý cuộc tấn công theo thời gian thực."

SYS01stealer lần đầu tiên được Morphisec ghi nhận vào đầu năm 2023, mô tả các chiến dịch tấn công nhắm vào các tài khoản doanh nghiệp trên Facebook bằng quảng cáo của Google và các hồ sơ Facebook giả mạo quảng bá trò chơi, nội dung người lớn và phần mềm bị bẻ khóa.

Giống như các phần mềm độc hại đánh cắp khác, mục tiêu cuối cùng là đánh cắp thông tin đăng nhập, lịch sử duyệt web và cookie. Nhưng nó cũng tập trung vào việc lấy dữ liệu tài khoản doanh nghiệp và quảng cáo trên Facebook, sau đó được sử dụng để phát tán phần mềm độc hại xa hơn thông qua quảng cáo giả mạo.

"Các tài khoản Facebook bị chiếm đoạt đóng vai trò là nền tảng để mở rộng toàn bộ hoạt động", Bitdefender lưu ý. "Mỗi tài khoản bị xâm phạm có thể được sử dụng lại để quảng cáo thêm các quảng cáo độc hại, khuếch đại phạm vi tiếp cận của chiến dịch mà không cần tin tặc phải tự tạo tài khoản Facebook mới".

Phương thức chính mà SYS01stealer được phân phối là thông qua quảng cáo độc hại trên các nền tảng như Facebook, YouTube và LinkedIn, với các quảng cáo quảng bá chủ đề Windows, trò chơi, phần mềm AI, trình chỉnh sửa ảnh, VPN và dịch vụ phát trực tuyến phim. Phần lớn các quảng cáo trên Facebook được thiết kế để nhắm mục tiêu đến nam giới từ 45 tuổi trở lên.

Trustwave cho biết trong một phân tích về phần mềm độc hại vào tháng 7 năm 2024: "Điều này thực sự dụ nạn nhân nhấp vào các quảng cáo này và dữ liệu trình duyệt của họ bị đánh cắp".

"Nếu có thông tin liên quan đến Facebook trong dữ liệu, không chỉ dữ liệu trình duyệt của họ có khả năng bị đánh cắp mà tài khoản Facebook của họ còn bị kẻ tấn công kiểm soát để phát tán quảng cáo độc hại và tiếp tục chu kỳ này."

Người dùng tương tác với quảng cáo sẽ được chuyển hướng đến các trang web lừa đảo được lưu trữ trên Google Sites hoặc True Hosting mạo danh các thương hiệu và ứng dụng hợp pháp để cố gắng bắt đầu lây nhiễm. Các cuộc tấn công cũng được biết là sử dụng các tài khoản Facebook bị chiếm đoạt để đăng quảng cáo gian lận.


Tải trọng giai đoạn đầu tiên được tải xuống từ các trang web này là tệp ZIP bao gồm một tệp thực thi lành tính, được sử dụng để tải một DLL độc hại chịu trách nhiệm giải mã và khởi chạy quy trình nhiều giai đoạn.

Điều này bao gồm chạy lệnh PowerShell để ngăn phần mềm độc hại chạy trong môi trường hộp cát, sửa đổi cài đặt Microsoft Defender Antivirus để loại trừ một số đường dẫn nhất định nhằm tránh bị phát hiện và thiết lập môi trường hoạt động để chạy trình đánh cắp dữ liệu dựa trên PHP.

Trong chuỗi tấn công mới nhất được công ty an ninh mạng Romania quan sát, các kho lưu trữ ZIP được nhúng bằng ứng dụng Electron, cho thấy kẻ tấn công liên tục phát triển các chiến lược của chúng.


Ngoài ra, trong Atom Shell Archive (ASAR) còn có một tệp JavaScript ("main.js") hiện thực thi các lệnh PowerShell để thực hiện kiểm tra hộp cát và thực thi kẻ đánh cắp. Tính bền bỉ trên máy chủ đạt được bằng cách thiết lập các tác vụ theo lịch trình.

"Khả năng thích ứng của tội phạm mạng đằng sau các cuộc tấn công này khiến chiến dịch đánh cắp thông tin SYS01 trở nên đặc biệt nguy hiểm", Bitdefender cho biết. "Phần mềm độc hại sử dụng chức năng phát hiện hộp cát, dừng hoạt động nếu phát hiện đang chạy trong môi trường được kiểm soát, thường được các nhà phân tích sử dụng để kiểm tra phần mềm độc hại. Điều này cho phép nó không bị phát hiện trong nhiều trường hợp".

"Khi các công ty an ninh mạng bắt đầu đánh dấu và chặn một phiên bản cụ thể của trình tải, tin tặc sẽ phản ứng nhanh chóng bằng cách cập nhật mã. Sau đó, chúng đưa ra các quảng cáo mới với phần mềm độc hại được cập nhật để tránh các biện pháp bảo mật mới nhất."

2. Chiến dịch lừa đảo lạm dụng Eventbrite

Sự việc này xảy ra sau khi Perception Point nêu chi tiết các chiến dịch lừa đảo sử dụng sai nền tảng sự kiện và bán vé Eventbrite để đánh cắp thông tin tài chính hoặc thông tin cá nhân.

Các email được gửi qua [email protected][.]com sẽ nhắc người dùng nhấp vào liên kết để thanh toán hóa đơn chưa thanh toán hoặc xác nhận địa chỉ giao hàng, sau đó họ được yêu cầu nhập thông tin đăng nhập và thẻ tín dụng.

Bản thân cuộc tấn công có thể thực hiện được do thực tế là những kẻ đe dọa đăng ký tài khoản hợp pháp trên dịch vụ và tạo ra các sự kiện giả mạo bằng cách lợi dụng danh tiếng của một thương hiệu đã biết, nhúng liên kết lừa đảo vào mô tả sự kiện hoặc tệp đính kèm. Sau đó, lời mời tham gia sự kiện được gửi đến mục tiêu của chúng.

Perception Point cho biết : "Vì email được gửi qua tên miền và địa chỉ IP đã được Eventbrite xác minh nên khả năng vượt qua bộ lọc email và đến được hộp thư đến của người nhận sẽ cao hơn".

"Tên miền người gửi Eventbrite cũng làm tăng khả năng người nhận mở email và nhấp vào liên kết lừa đảo. Việc lạm dụng nền tảng Eventbrite này cho phép kẻ tấn công trốn tránh bị phát hiện, đảm bảo tỷ lệ gửi và mở email cao hơn."

3. Một Kiểu Giết Lợn Khác

Những kẻ săn mối đe dọa cũng đang kêu gọi sự chú ý đến sự gia tăng của gian lận tiền điện tử mạo danh nhiều tổ chức khác nhau để nhắm mục tiêu vào người dùng bằng các công việc giả mạo được cho là cho phép họ kiếm tiền trong khi làm việc tại nhà. Các tin nhắn không mong muốn cũng tuyên bố đại diện cho các thương hiệu hợp pháp như Spotify, TikTok và Temu.

Hoạt động này bắt đầu thông qua phương tiện truyền thông xã hội, tin nhắn SMS và các ứng dụng nhắn tin như WhatsApp và Telegram. Những người dùng đồng ý nhận việc sẽ được những kẻ lừa đảo hướng dẫn đăng ký trên một trang web độc hại bằng mã giới thiệu, sau đó họ được yêu cầu hoàn thành nhiều nhiệm vụ khác nhau – gửi đánh giá giả, đặt hàng sản phẩm, phát các bài hát cụ thể trên Spotify hoặc đặt phòng khách sạn.

Vụ lừa đảo diễn ra khi số dư tài khoản hoa hồng giả của nạn nhân đột nhiên giảm xuống mức âm và họ được khuyến khích nạp thêm tiền bằng cách đầu tư tiền điện tử của chính mình để kiếm tiền thưởng từ các nhiệm vụ.

"Vòng luẩn quẩn này sẽ tiếp tục miễn là những kẻ lừa đảo nghĩ rằng nạn nhân sẽ tiếp tục trả tiền vào hệ thống", các nhà nghiên cứu Proofpoint cho biết. "Nếu chúng nghi ngờ nạn nhân đã trở nên khôn ngoan trước trò lừa đảo, chúng sẽ khóa tài khoản của họ và biến mất".

Kế hoạch bất hợp pháp này được cho là do những kẻ đe dọa thực hiện, những kẻ này cũng thực hiện hành vi giết lợn, hay còn gọi là lừa đảo đầu tư tiền điện tử dựa trên sự lãng mạn.

Proofpoint cho biết: "Lừa đảo việc làm có lợi nhuận nhỏ hơn nhưng thường xuyên hơn đối với những kẻ lừa đảo so với việc giết lợn". "Hoạt động này tận dụng sự công nhận thương hiệu phổ biến thay vì một vụ lừa đảo lòng tin dựa trên sự lãng mạn kéo dài".