Trong quá trình hunting thông tin các chiến dịch tấn công của tin tặc trên không gian mạng, đội ngũ FPT Threat Intelligence ghi nhận hành vi lạm dụng những quảng cáo trên các trang Facebook của tin tặc nhằm phát tán mã độc đánh cắp thông tin người dùng SYS01.
1. Thông tin chi tiết
Các nhà nghiên cứu bảo mật của Trustwave vừa qua đã đưa ra cảnh báo về một chiến dịch tấn công đánh cắp thông tin mới. Trong chiến dịch này, tin tặc đã lợi dụng các quảng cáo trên Facebook nhằm lây nhiễm loại mã độc SYS01.
SYS01 là một mã độc đánh cắp thông tin credential, cookies trình duyệt, dữ liệu autofill của trình duyệt, thông tin ví điện tử lưu trên trình duyệt và thông tin tài khoản business trên Facebook. Mã độc này thường được lây nhiễm thông qua các chiến dịch Phishing trên email, thông qua các trang web độc hại hoặc thông qua các phần mềm không rõ nguồn gốc. Thông tin đánh cắp được gửi về máy chủ C2 (Command & Control) của kẻ tấn công, nơi chúng có thể sử dụng thông tin này cho các hoạt động phạm pháp như gian lận tài chính, tấn công vào tài khoản trực tuyến, hoặc bán thông tin trên thị trường đen.
Nhằm nâng cao khả năng thành công, tin tặc đã khéo léo kết hợp các kỹ thuật social engineering, tạo ra những thông điệp kích thích nạn nhân truy cập tới các liên kết giả mạo được chúng thiết kế phục vụ cho việc lây nhiễm mã độc. Các nhà nghiên cứu bảo mật đã thống kê, hầu hết những thông điệp khuyến khích này là thông điệp tải xuống các trò chơi và phần mềm lậu phổ biến, Sora AI, trình tạo ảnh 3D và trình kích hoạt bản quyền lậu (One Click Active).
Đáng chú ý, những trang Facebook phục vụ cho chiến dịch này hầù hết được quản lý bởi quản trị viên tới từ Việt Nam và Philippines. Hàng nghìn quảng cáo giả mạo được sử dụng cho chiến dịch, trong đó quảng cáo blue-softs
chiếm khoảng 8100 quảng cáo, xtaskbar-themes
khoảng 4300, newtaskbar-themes
khoảng 2200 và awesome-themes-desktop
chiếm khoảng 1100 quảng cáo.
Nạn nhân được chuyển hướng lập tức tới các trang web được lưu trữ trên Google Sites hoặc True Hosting ngay khi bấm vào các quảng cáo trên. Những website này cung cấp đường dẫn tải xuống tệp tin nén đuôi .ZIP
chứa mã độc và được tuỳ biến tên như Adobe_Photoshop_2023.zip
, FIFA_2023.zip
hoặc MacOS_Themes_for_Windows_10_11.zip
...
Đội ngũ FPT Threat Intelligence khuyến nghị người dùng không truy cập vào bất cứ các đường dẫn quảng cáo bất thường trên facebook, không tải xuống các trò chơi và phần mềm lậu, đồng thời sử dụng các biện pháp bảo vệ như phần mềm antivirus nhằm tránh trở thành nạn nhân trong các chiến dịch tấn công đánh cắp thông tin của tin tặc.