Giờ đây hacker đang "máu lửa" lạm dụng các trang kinh doanh và quảng cáo trên Facebook để phát tán theme Windows fake, lừa người dùng tải xuống phần mềm độc hại đánh cắp mật khẩu SYS01 cực kỳ nguy hiểm
Theo các nhà nghiên cứu từ Trustwave, bọn tội phạm mạng này không chỉ dừng lại ở theme mà còn phát tán cả bản tải xuống game giả, phần mềm crack, Sora AI, công cụ tạo hình ảnh 3D và One Click Active nữa. Tóm lại là gì hot thì chúng fake cái đó luôn!
Mặc dù chiêu dùng quảng cáo Facebook để phát tán malware không phải là chiêu mới, nhưng với tầm ảnh hưởng khủng của nền tảng mạng xã hội này, các chiến dịch này đang trở thành mối đe dọa cực kỳ nghiêm trọng đấy các bạn ơi
Chiêu trò của bọn hacker như nào?
Bọn này đang phát tán quảng cáo về theme Windows, game miễn phí và bản crack phần mềm cho các ứng dụng đình đám như Photoshop, Microsoft Office và Windows. Nghe có vẻ hấp dẫn nhỉ? Nhưng đừng vội tin!
Những quảng cáo độc hại này được quảng bá qua các trang kinh doanh mới toanh trên Facebook hoặc bằng cách chiếm đoạt trang có sẵn. Khi chiếm được trang, chúng còn đổi tên cho hợp với chủ đề quảng cáo để kêu gọi các thành viên tải xuống. Xảo thiệt!
Báo cáo của Trustwave cho biết: "Tin tặc giả mạo danh tính doanh nghiệp bằng cách đổi tên các trang Facebook, điều này cho phép chúng lợi dụng cơ sở người theo dõi hiện có để khuếch đại đáng kể phạm vi tiếp cận của quảng cáo gian lận".
Mức độ nghiêm trọng ra sao? Bọn tội phạm mạng này thực hiện hàng nghìn quảng cáo cho mỗi chiến dịch luôn! Các chiến dịch hàng đầu có tên là blue-softs (8.100 quảng cáo), xtaskbar-themes (4.300 quảng cáo), newtaskbar-themes (2.200 quảng cáo) và awesome-themes-desktop (1.100 quảng cáo). Con số khủng vậy đó!
Kịch bản tấn công diễn ra thế nào?
Khi bạn nhấp vào quảng cáo, bạn sẽ được chuyển hướng đến các trang lưu trên Google Sites hoặc True Hosting giả mạo là trang tải xuống phần mềm được quảng cáo.
Các trang True Hosting chủ yếu được dùng để quảng cáo trang Blue-Software - nơi cung cấp các bản tải xuống game và phần mềm được quảng cáo là "miễn phí". Ai chả thích đồ free phải không?
Nhấp vào nút 'Download' sẽ khiến bạn tải về một file ZIP được đặt tên theo đúng thứ bạn quan tâm. Ví dụ: tải Windows theme sẽ nhận được file nén tên 'Awesome_Themes_for_Win_10_11.zip' và Photoshop sẽ là 'Adobe_Photoshop_2023.zip.' Trông có vẻ hợp lý lắm đúng không?
Nhưng thực tế, trong khi bạn nghĩ mình đang nhận được ứng dụng, game hoặc theme Windows miễn phí, thì file ZIP này lại chứa mã độc đánh cắp thông tin SYS01 nguy hiểm cực kỳ!
SYS01 là con quái vật gì mà nguy hiểm vậy?
Mã độc này được Morphisec phát hiện lần đầu tiên vào năm 2022, sử dụng một combo gồm các file thực thi, DLL, script PowerShell và PHP để cài đặt phần mềm độc hại và đánh cắp dữ liệu từ thiết bị bị nhiễm.
Khi file thực thi chính trong file ZIP được kích hoạt, nó dùng kỹ thuật DLL sideloading để tải một DLL độc hại bắt đầu thiết lập môi trường hoạt động cho mã độc, bao gồm việc chạy các script PowerShell để ngăn mã độc chạy trong môi trường ảo hóa nhằm tránh bị phát hiện, thêm các thư mục loại trừ trong Windows Defender và cấu hình môi trường PHP để tải các script PHP độc hại. Phức tạp vãi!
SYS01 chủ yếu chứa các script PHP tạo các tác vụ theo lịch trình để duy trì và đánh cắp dữ liệu từ thiết bị. Dữ liệu bị đánh cắp bao gồm cookie trình duyệt, thông tin xác thực được lưu trong trình duyệt, lịch sử duyệt web và thông tin liên quan đến ví tiền điện tử. Tóm lại là ăn sạch luôn!
Đặc biệt nguy hiểm với người dùng Facebook
Phần mềm độc hại này sử dụng cookie Facebook được tìm thấy trên thiết bị để đánh cắp thông tin tài khoản từ trang mạng xã hội, cụ thể là:
• Trích xuất thông tin cá nhân như tên, email và ngày sinh
• Lấy dữ liệu chi tiết về tài khoản quảng cáo, bao gồm chi tiêu và phương thức thanh toán
• Dữ liệu bao gồm doanh nghiệp, tài khoản quảng cáo và người dùng doanh nghiệp, cho thấy sự quan tâm đến dữ liệu tài chính nhạy cảm và thương mại
• Thông tin chi tiết về các trang Facebook do người dùng quản lý
Dữ liệu bị đánh cắp được lưu trữ tạm thời trong thư mục %Temp% trước khi được chuyển cho kẻ tấn công.
Cookie và mật khẩu bị đánh cắp sau đó có thể được rao bán cho những đối tượng tấn công khác hoặc được sử dụng để xâm nhập vào các tài khoản khác của nạn nhân. Dữ liệu Facebook có thể được dùng để chiếm đoạt các tài khoản khác cho các chiến dịch quảng cáo độc hại tiếp theo. Vòng luẩn quẩn không hồi kết!
Không chỉ Facebook, còn nhiều nền tảng khác nữa!
Trustwave cho biết hoạt động quảng cáo độc hại này không chỉ giới hạn ở Facebook, mà còn xuất hiện trên LinkedIn và YouTube nữa. Bọn này đang "tấn công đa mặt trận" thật sự!
Trustwave cảnh báo rằng: "Chiến dịch quảng cáo độc hại SYS01 đang diễn ra gây ra mối đe dọa cho nhiều đối tượng hơn và cho thấy tầm quan trọng của việc nhận thức được những gì người dùng làm trên mạng xã hội".
Vậy phải làm sao để tự bảo vệ mình? ️
Để giảm thiểu nguy cơ trở thành nạn nhân của các chiến dịch độc hại như vậy, bạn cần phải:
• Luôn cảnh giác trước các quảng cáo phần mềm/ứng dụng miễn phí, phần mềm crack (nhớ là "miễn phí" thường đắt nhất đấy!)
• Chỉ nên tải xuống và cài đặt phần mềm từ các nguồn đáng tin cậy như cửa hàng ứng dụng chính thức hoặc trang web của nhà phát triển
• Đừng ham hố những thứ "quá ngon" trên mạng xã hội nhé!
Nguồn: soha.vn
Theo các nhà nghiên cứu từ Trustwave, bọn tội phạm mạng này không chỉ dừng lại ở theme mà còn phát tán cả bản tải xuống game giả, phần mềm crack, Sora AI, công cụ tạo hình ảnh 3D và One Click Active nữa. Tóm lại là gì hot thì chúng fake cái đó luôn!
Mặc dù chiêu dùng quảng cáo Facebook để phát tán malware không phải là chiêu mới, nhưng với tầm ảnh hưởng khủng của nền tảng mạng xã hội này, các chiến dịch này đang trở thành mối đe dọa cực kỳ nghiêm trọng đấy các bạn ơi
Chiêu trò của bọn hacker như nào?
Bọn này đang phát tán quảng cáo về theme Windows, game miễn phí và bản crack phần mềm cho các ứng dụng đình đám như Photoshop, Microsoft Office và Windows. Nghe có vẻ hấp dẫn nhỉ? Nhưng đừng vội tin!
Những quảng cáo độc hại này được quảng bá qua các trang kinh doanh mới toanh trên Facebook hoặc bằng cách chiếm đoạt trang có sẵn. Khi chiếm được trang, chúng còn đổi tên cho hợp với chủ đề quảng cáo để kêu gọi các thành viên tải xuống. Xảo thiệt!
Báo cáo của Trustwave cho biết: "Tin tặc giả mạo danh tính doanh nghiệp bằng cách đổi tên các trang Facebook, điều này cho phép chúng lợi dụng cơ sở người theo dõi hiện có để khuếch đại đáng kể phạm vi tiếp cận của quảng cáo gian lận".
Mức độ nghiêm trọng ra sao? Bọn tội phạm mạng này thực hiện hàng nghìn quảng cáo cho mỗi chiến dịch luôn! Các chiến dịch hàng đầu có tên là blue-softs (8.100 quảng cáo), xtaskbar-themes (4.300 quảng cáo), newtaskbar-themes (2.200 quảng cáo) và awesome-themes-desktop (1.100 quảng cáo). Con số khủng vậy đó!
Kịch bản tấn công diễn ra thế nào?
Khi bạn nhấp vào quảng cáo, bạn sẽ được chuyển hướng đến các trang lưu trên Google Sites hoặc True Hosting giả mạo là trang tải xuống phần mềm được quảng cáo.
Các trang True Hosting chủ yếu được dùng để quảng cáo trang Blue-Software - nơi cung cấp các bản tải xuống game và phần mềm được quảng cáo là "miễn phí". Ai chả thích đồ free phải không?
Nhấp vào nút 'Download' sẽ khiến bạn tải về một file ZIP được đặt tên theo đúng thứ bạn quan tâm. Ví dụ: tải Windows theme sẽ nhận được file nén tên 'Awesome_Themes_for_Win_10_11.zip' và Photoshop sẽ là 'Adobe_Photoshop_2023.zip.' Trông có vẻ hợp lý lắm đúng không?
Nhưng thực tế, trong khi bạn nghĩ mình đang nhận được ứng dụng, game hoặc theme Windows miễn phí, thì file ZIP này lại chứa mã độc đánh cắp thông tin SYS01 nguy hiểm cực kỳ!
SYS01 là con quái vật gì mà nguy hiểm vậy?
Mã độc này được Morphisec phát hiện lần đầu tiên vào năm 2022, sử dụng một combo gồm các file thực thi, DLL, script PowerShell và PHP để cài đặt phần mềm độc hại và đánh cắp dữ liệu từ thiết bị bị nhiễm.
Khi file thực thi chính trong file ZIP được kích hoạt, nó dùng kỹ thuật DLL sideloading để tải một DLL độc hại bắt đầu thiết lập môi trường hoạt động cho mã độc, bao gồm việc chạy các script PowerShell để ngăn mã độc chạy trong môi trường ảo hóa nhằm tránh bị phát hiện, thêm các thư mục loại trừ trong Windows Defender và cấu hình môi trường PHP để tải các script PHP độc hại. Phức tạp vãi!
SYS01 chủ yếu chứa các script PHP tạo các tác vụ theo lịch trình để duy trì và đánh cắp dữ liệu từ thiết bị. Dữ liệu bị đánh cắp bao gồm cookie trình duyệt, thông tin xác thực được lưu trong trình duyệt, lịch sử duyệt web và thông tin liên quan đến ví tiền điện tử. Tóm lại là ăn sạch luôn!
Đặc biệt nguy hiểm với người dùng Facebook
Phần mềm độc hại này sử dụng cookie Facebook được tìm thấy trên thiết bị để đánh cắp thông tin tài khoản từ trang mạng xã hội, cụ thể là:
• Trích xuất thông tin cá nhân như tên, email và ngày sinh
• Lấy dữ liệu chi tiết về tài khoản quảng cáo, bao gồm chi tiêu và phương thức thanh toán
• Dữ liệu bao gồm doanh nghiệp, tài khoản quảng cáo và người dùng doanh nghiệp, cho thấy sự quan tâm đến dữ liệu tài chính nhạy cảm và thương mại
• Thông tin chi tiết về các trang Facebook do người dùng quản lý
Dữ liệu bị đánh cắp được lưu trữ tạm thời trong thư mục %Temp% trước khi được chuyển cho kẻ tấn công.
Cookie và mật khẩu bị đánh cắp sau đó có thể được rao bán cho những đối tượng tấn công khác hoặc được sử dụng để xâm nhập vào các tài khoản khác của nạn nhân. Dữ liệu Facebook có thể được dùng để chiếm đoạt các tài khoản khác cho các chiến dịch quảng cáo độc hại tiếp theo. Vòng luẩn quẩn không hồi kết!
Không chỉ Facebook, còn nhiều nền tảng khác nữa!
Trustwave cho biết hoạt động quảng cáo độc hại này không chỉ giới hạn ở Facebook, mà còn xuất hiện trên LinkedIn và YouTube nữa. Bọn này đang "tấn công đa mặt trận" thật sự!
Trustwave cảnh báo rằng: "Chiến dịch quảng cáo độc hại SYS01 đang diễn ra gây ra mối đe dọa cho nhiều đối tượng hơn và cho thấy tầm quan trọng của việc nhận thức được những gì người dùng làm trên mạng xã hội".
Vậy phải làm sao để tự bảo vệ mình? ️
Để giảm thiểu nguy cơ trở thành nạn nhân của các chiến dịch độc hại như vậy, bạn cần phải:
• Luôn cảnh giác trước các quảng cáo phần mềm/ứng dụng miễn phí, phần mềm crack (nhớ là "miễn phí" thường đắt nhất đấy!)
• Chỉ nên tải xuống và cài đặt phần mềm từ các nguồn đáng tin cậy như cửa hàng ứng dụng chính thức hoặc trang web của nhà phát triển
• Đừng ham hố những thứ "quá ngon" trên mạng xã hội nhé!
Nguồn: soha.vn