-
09/04/2020
-
141
-
1.969 bài viết
Hacker lợi dụng TikTok, Instagram Reels phát tán mã độc qua video “phần mềm miễn phí”
Các nền tảng video ngắn như TikTok và Instagram Reels đang bị khai thác như một kênh phát tán mã độc khi tội phạm mạng sử dụng video hướng dẫn giả mạo để dụ người dùng cài đặt phần mềm miễn phí hoặc mở khóa tính năng trả phí.
Theo phân tích từ ReversingLabs, nhiều chiến dịch tấn công đang được triển khai song song trên các nền tảng mạng xã hội, trong đó TikTok và Instagram Reels đóng vai trò như kênh phân phối nội dung ban đầu. Các tài khoản giả mạo được xây dựng theo hướng mô phỏng các trang chia sẻ kiến thức công nghệ, sử dụng tên gọi, hình ảnh đại diện và phong cách trình bày gần giống các kênh hướng dẫn hợp pháp nhằm giảm mức độ nghi ngờ từ người xem.
Nội dung video thường xoay quanh các chủ đề có tính hấp dẫn cao như kích hoạt Spotify Premium, mở khóa phần mềm bản quyền hoặc cài đặt công cụ AI và ứng dụng trả phí miễn phí. Thay vì dẫn trực tiếp tới tệp độc hại, các video được thiết kế theo dạng hướng dẫn từng bước, trong đó một số trường hợp yêu cầu người dùng sao chép và thực thi lệnh hệ thống trên Windows, bao gồm cả PowerShell hoặc các đoạn lệnh tải từ xa. Đáng chú ý, toàn bộ phần trình bày được dàn dựng khá hoàn chỉnh với giọng đọc tạo bằng AI, kết hợp cùng giao diện màn hình thao tác giống môi trường Windows thật, khiến chuỗi hướng dẫn có độ tin cậy cao nếu chỉ quan sát bề mặt. Khi người dùng thực hiện theo các bước này, quá trình tải mã độc diễn ra âm thầm mà không cần tương tác thêm, làm giảm khả năng phát hiện trong giai đoạn đầu của tấn công.
Hình ảnh một video dụ người dùng với 1.699 lượt lưu, 1.581 lượt thích và 974 lượt chia sẻ, cùng hơn 109.000 lượt xem
Nguồn: ReversingLabs
Các chiến dịch này khai thác trực tiếp cơ chế đề xuất nội dung của TikTok và Instagram Reels để đẩy mạnh khả năng lan truyền. Khi một video bắt đầu thu hút tương tác ban đầu, hệ thống phân phối tự động có xu hướng mở rộng phạm vi hiển thị, khiến nội dung nhanh chóng xuất hiện trên nhiều nguồn đề xuất khác nhau mà không cần quảng cáo trả phí. Nhờ cách vận hành này, các video độc hại có thể đạt mức tiếp cận lớn trong thời gian ngắn, với hàng chục nghìn đến hàng trăm nghìn lượt xem cùng lượng thích, chia sẻ và bình luận cao. Những tín hiệu tương tác này tạo ra một lớp “bảo chứng xã hội” tự nhiên, khiến người dùng mặc định nội dung là đáng tin cậy vì được nhiều người theo dõi và phản hồi. Khi hiệu ứng lan truyền được khuếch đại, ranh giới giữa nội dung hướng dẫn hợp pháp và nội dung độc hại trở nên mờ đi, làm giảm đáng kể khả năng người dùng nhận diện rủi ro ngay từ bước đầu tiếp xúc.
Hai phương thức tấn công chính được ghi nhận trong các chiến dịch này, đều dựa trên việc biến nội dung video hướng dẫn thành điểm khởi đầu cho quá trình cài đặt mã độc trên thiết bị nạn nhân.
Hai phương thức tấn công chính được ghi nhận trong các chiến dịch này, đều dựa trên việc biến nội dung video hướng dẫn thành điểm khởi đầu cho quá trình cài đặt mã độc trên thiết bị nạn nhân.
- Phương thức đầu tiên nhắm vào người dùng Windows thông qua các video hướng dẫn thực thi lệnh PowerShell với mục tiêu được quảng bá là kích hoạt phần mềm miễn phí hoặc mở khóa tính năng trả phí. Tuy nhiên, đoạn lệnh này thực chất được thiết kế để tải và thực thi mã độc từ máy chủ điều khiển từ xa. Khi được thực thi, chuỗi lệnh kích hoạt Vidar Stealer, một loại phần mềm đánh cắp thông tin có khả năng thu thập mật khẩu lưu trong trình duyệt, cookie phiên đăng nhập, dữ liệu tài khoản và các thông tin tài chính được lưu trữ trên hệ thống.
- Phương thức thứ hai khai thác hành vi tương tác tự nhiên trên mạng xã hội, đặc biệt là cơ chế bình luận dưới video. Người dùng bị dẫn dắt để lại bình luận nhằm nhận hướng dẫn chi tiết, sau đó tài khoản vận hành chiến dịch chủ động phản hồi và chuyển hướng họ sang các website bên ngoài. Tại đây, các tệp cài đặt độc hại được ngụy trang dưới dạng phần mềm miễn phí hoặc bản crack, từ đó lừa người dùng tải xuống và cài đặt trực tiếp trên thiết bị.
Một số hạ tầng liên quan được ghi nhận bao gồm các tên miền pluginchad[.]xyz, maxapk[.]xyz, d4ug[.]site cùng nhiều máy chủ khác được sử dụng để phân phối tải độc hại và hỗ trợ chuyển hướng người dùng đến các tệp cài đặt giả mạo. Song song với đó, các tài khoản mạng xã hội trong chiến dịch thường được xây dựng theo hướng mô phỏng thương hiệu hoặc kênh hướng dẫn kỹ thuật, với tên gọi và hình ảnh đại diện gần giống các nguồn chính thống như windows tips hoặc windows insights, nhằm tạo cảm giác quen thuộc và giảm mức độ cảnh giác của người xem.
Vidar Stealer, mã độc được sử dụng trong các chiến dịch này, là một loại infostealer đã xuất hiện trong thời gian dài và liên tục được cập nhật để tăng khả năng né tránh cơ chế phát hiện. Dưới mô hình malware as a service, công cụ này được thương mại hóa rộng rãi với mức chi phí khoảng 300 USD, cho phép nhiều nhóm tội phạm mạng không cần năng lực kỹ thuật cao vẫn có thể triển khai các chiến dịch đánh cắp dữ liệu quy mô lớn. Cơ chế vận hành của các video độc hại cũng dựa mạnh vào hiệu ứng tương tác trên mạng xã hội. Lượt xem, lượt thích và bình luận được khai thác như một yếu tố tạo dựng độ tin cậy xã hội, khiến nội dung trông giống các video hướng dẫn hợp pháp. Nhiều trường hợp ghi nhận video đạt từ hàng chục nghìn đến hơn một trăm nghìn lượt xem trước khi bị phát hiện và gỡ bỏ khỏi nền tảng.
Vidar Stealer, mã độc được sử dụng trong các chiến dịch này, là một loại infostealer đã xuất hiện trong thời gian dài và liên tục được cập nhật để tăng khả năng né tránh cơ chế phát hiện. Dưới mô hình malware as a service, công cụ này được thương mại hóa rộng rãi với mức chi phí khoảng 300 USD, cho phép nhiều nhóm tội phạm mạng không cần năng lực kỹ thuật cao vẫn có thể triển khai các chiến dịch đánh cắp dữ liệu quy mô lớn. Cơ chế vận hành của các video độc hại cũng dựa mạnh vào hiệu ứng tương tác trên mạng xã hội. Lượt xem, lượt thích và bình luận được khai thác như một yếu tố tạo dựng độ tin cậy xã hội, khiến nội dung trông giống các video hướng dẫn hợp pháp. Nhiều trường hợp ghi nhận video đạt từ hàng chục nghìn đến hơn một trăm nghìn lượt xem trước khi bị phát hiện và gỡ bỏ khỏi nền tảng.
Tài khoản người dùng được xác định có liên quan đến hoạt động phát tán mã độc với biểu tượng vương miện màu xanh trên nền trắng
Nguồn: ReversingLabs
Khả năng phản ứng từ phía các nền tảng hiện chưa theo kịp tốc độ lan truyền của những chiến dịch này, tạo ra khoảng trống đủ lớn để nội dung độc hại tiếp tục tồn tại trên hệ thống. Một số tài khoản sau khi bị người dùng báo cáo vẫn duy trì hoạt động trong thời gian nhất định và tiếp tục đăng tải video mới hoặc điều hướng người xem sang các liên kết bên ngoài. Song song đó, các bình luận mang tính cảnh báo từ cộng đồng thường bị xóa nhanh hoặc bị chặn hiển thị, làm suy yếu cơ chế tự cảnh báo giữa người dùng với nhau và khiến chuỗi lây lan khó bị gián đoạn kịp thời.
Sự dịch chuyển của phương thức tấn công sang các nền tảng video ngắn phản ánh cách tội phạm mạng đang tận dụng yếu tố niềm tin thị giác như một lớp che chắn mới. Thay vì dựa vào email lừa đảo hay các website giả mạo dễ bị nhận diện, nội dung độc hại được xây dựng dưới dạng video hướng dẫn kỹ thuật có hình thức tương tự các chia sẻ công nghệ hợp pháp. Khi được đặt trong dòng nội dung giải trí và học thuật ngắn, các video này dễ dàng hòa lẫn vào môi trường chung, khiến người xem khó đưa ra đánh giá chính xác về tính an toàn chỉ dựa trên hình thức bên ngoài.
Để giảm thiểu rủi ro từ các chiến dịch này, các tổ chức cần siết chặt kiểm soát quyền đặc quyền trên hệ thống, đồng thời hạn chế khả năng người dùng cuối thực thi các công cụ có thể chạy lệnh như PowerShell. Điều này giúp giảm nguy cơ các đoạn lệnh được hướng dẫn trong video mạng xã hội vô tình được thực thi và dẫn tới việc tải mã độc từ máy chủ bên ngoài. Cùng với đó, hoạt động đào tạo nhận thức an ninh cần được mở rộng ra ngoài các kênh truyền thống như email, để bao phủ cả những nền tảng video ngắn đang bị khai thác làm kênh phát tán nội dung độc hại. Người dùng cần được nhấn mạnh về việc nhận diện các tình huống rủi ro, đặc biệt là khi video yêu cầu thao tác hệ thống hoặc truy cập liên kết tải phần mềm không rõ nguồn gốc. Nguyên tắc quan trọng nhất vẫn là không thực thi bất kỳ lệnh hệ thống nào và không tải tệp từ các nguồn chia sẻ không chính thống trên mạng xã hội, bởi đây thường là điểm khởi đầu cho chuỗi cài đặt mã độc và đánh cắp dữ liệu.
Sự dịch chuyển của phương thức tấn công sang các nền tảng video ngắn phản ánh cách tội phạm mạng đang tận dụng yếu tố niềm tin thị giác như một lớp che chắn mới. Thay vì dựa vào email lừa đảo hay các website giả mạo dễ bị nhận diện, nội dung độc hại được xây dựng dưới dạng video hướng dẫn kỹ thuật có hình thức tương tự các chia sẻ công nghệ hợp pháp. Khi được đặt trong dòng nội dung giải trí và học thuật ngắn, các video này dễ dàng hòa lẫn vào môi trường chung, khiến người xem khó đưa ra đánh giá chính xác về tính an toàn chỉ dựa trên hình thức bên ngoài.
Để giảm thiểu rủi ro từ các chiến dịch này, các tổ chức cần siết chặt kiểm soát quyền đặc quyền trên hệ thống, đồng thời hạn chế khả năng người dùng cuối thực thi các công cụ có thể chạy lệnh như PowerShell. Điều này giúp giảm nguy cơ các đoạn lệnh được hướng dẫn trong video mạng xã hội vô tình được thực thi và dẫn tới việc tải mã độc từ máy chủ bên ngoài. Cùng với đó, hoạt động đào tạo nhận thức an ninh cần được mở rộng ra ngoài các kênh truyền thống như email, để bao phủ cả những nền tảng video ngắn đang bị khai thác làm kênh phát tán nội dung độc hại. Người dùng cần được nhấn mạnh về việc nhận diện các tình huống rủi ro, đặc biệt là khi video yêu cầu thao tác hệ thống hoặc truy cập liên kết tải phần mềm không rõ nguồn gốc. Nguyên tắc quan trọng nhất vẫn là không thực thi bất kỳ lệnh hệ thống nào và không tải tệp từ các nguồn chia sẻ không chính thống trên mạng xã hội, bởi đây thường là điểm khởi đầu cho chuỗi cài đặt mã độc và đánh cắp dữ liệu.
Chỉnh sửa lần cuối: