VietNetwork.Vn

Người dùng Facebook là mục tiêu của một mạng thương mại điện tử lừa đảo sử dụng hàng trăm trang web giả mạo để đánh cắp dữ liệu cá nhân và tài chính bằng các thủ thuật mạo danh thương hiệu và quảng cáo độc hại.

Nhóm Tình báo gian lận thanh toán của Recorded Future, nhóm phát hiện chiến dịch này vào ngày 17 tháng 4 năm 2024, đã đặt tên cho chiến dịch là ERIAKOS do sử dụng cùng một mạng phân phối nội dung (CDN) oss.eriakos[.]com.


Công ty cho biết: "Các trang web lừa đảo này chỉ có thể truy cập được thông qua thiết bị di động và quảng cáo thu hút, một chiến thuật nhằm trốn tránh các hệ thống phát hiện tự động". Đồng thời lưu ý rằng mạng này bao gồm 608 trang web lừa đảo và hoạt động này kéo dài trong nhiều đợt ngắn ngủi.

Một khía cạnh đáng chú ý của chiến dịch phức tạp này là nó nhắm mục tiêu riêng đến người dùng di động đã truy cập các trang web lừa đảo thông qua quảng cáo thu hút trên Facebook, một số trong đó dựa vào giảm giá trong thời gian giới hạn để lôi kéo người dùng nhấp vào chúng. Recorded Future cho biết có tới 100 Quảng cáo Meta liên quan đến một trang web lừa đảo được phục vụ trong một ngày.

Các trang web và quảng cáo giả mạo đã bị phát hiện chủ yếu mạo danh một nền tảng thương mại điện tử trực tuyến lớn và một nhà sản xuất dụng cụ điện, cũng như nhắm ra những nạn nhân bằng những lời chào bán không có thật cho các sản phẩm từ nhiều thương hiệu nổi tiếng khác nhau. Một cơ chế phân phối quan trọng khác liên quan đến việc sử dụng các bình luận giả mạo của người dùng trên Facebook để thu hút nạn nhân tiềm năng.

Recorded Future lưu ý: "Các tài khoản người bán và các miền liên quan đến các trang web lừa đảo đã được đăng ký ở Trung Quốc, cho thấy những kẻ đe dọa thực hiện chiến dịch này có thể đã thành lập doanh nghiệp mà họ sử dụng để quản lý các tài khoản người bán lừa đảo ở Trung Quốc".

Đây không phải là lần đầu tiên các mạng thương mại điện tử tội phạm nổi lên với mục đích thu thập thông tin thẻ tín dụng và kiếm lợi bất chính từ các đơn đặt hàng giả. Vào tháng 5 năm 2024, một mạng lưới khổng lồ gồm 75.000 cửa hàng trực tuyến giả mạo – được đặt tên là BogusBazaar – bị phát hiện đã kiếm được hơn 50 triệu USD nhờ quảng cáo giày và quần áo của các thương hiệu nổi tiếng với giá rẻ.

Sau đó, vào tháng trước, Orange Cyberdefense đã tiết lộ một hệ thống điều hướng giao thông ( TDS ) không có giấy tờ trước đây có tên là R0bl0ch0n TDS được sử dụng để quảng bá các hoạt động lừa đảo tiếp thị liên kết thông qua mạng lưới các trang web khảo sát rút thăm trúng thưởng và cửa hàng giả mạo với mục tiêu lấy thông tin thẻ tín dụng.

Nhà nghiên cứu bảo mật Simon Vernin cho biết : "Một số vectơ riêng biệt được sử dụng để phổ biến ban đầu các URL chuyển hướng qua R0bl0ch0n TDS, cho thấy rằng các chiến dịch này có thể được thực hiện bởi các chi nhánh khác nhau".

Sự phát triển này xảy ra khi các quảng cáo giả mạo của Google được hiển thị khi tìm kiếm Google Authenticator trên công cụ tìm kiếm đã được quan sát thấy đang chuyển hướng người dùng đến một trang web lừa đảo ("chromeweb-authenticators[.]com") cung cấp tệp thực thi Windows được lưu trữ trên GitHub, cuối cùng làm mất một kẻ đánh cắp thông tin có tên DeerStealer.

Điều khiến quảng cáo có vẻ hợp pháp là chúng xuất hiện như thể đến từ "google.com" và danh tính của nhà quảng cáo được Google xác minh, theo Malwarebytes, cho biết "một số cá nhân không xác định đã có thể mạo danh Google và phát tán thành công phần mềm độc hại được ngụy trang thành một sản phẩm có thương hiệu của Google nữa."


Các chiến dịch quảng cáo độc hại cũng đã được phát hiện khi phổ biến nhiều họ phần mềm độc hại khác như SocGholish (còn gọi là FakeUpdates), MadMxShell và WorkersDevBackdoor, trong đó Malwarebytes phát hiện ra sự chồng chéo về cơ sở hạ tầng giữa hai nhóm phần mềm độc hại sau, cho thấy rằng chúng có thể được điều hành bởi cùng một tác nhân đe dọa.

Trên hết, quảng cáo cho Angry IP Scanner đã được sử dụng để thu hút người dùng đến các trang web giả mạo và địa chỉ email "goodgoo1ge@protonmail[.]com" đã được sử dụng để đăng ký các miền cung cấp cả MadMxShell và WorkersDevBackdoor.

Nhà nghiên cứu bảo mật Jerome Segura cho biết : "Cả hai phần mềm độc hại đều có khả năng thu thập và đánh cắp dữ liệu nhạy cảm, cũng như cung cấp đường dẫn truy cập trực tiếp cho những kẻ môi giới truy cập ban đầu liên quan đến việc triển khai ransomware".