-
09/04/2020
-
93
-
613 bài viết
Quảng cáo Facebook trên các chủ đề Windows desktop phát tán mã độc đánh cắp thông tin người dùng
Các tin tặc đang sử dụng trang kinh doanh và quảng cáo trên Facebook để quảng bá các chủ đề Windows giả mạo, nhằm lây nhiễm mã độc SYS01 đánh cắp mật khẩu vào máy tính của người dùng không ngờ tới.
Tin tặc còn quảng bá các bản tải xuống giả mạo cho trò chơi và phần mềm lậu, Sora AI, trình tạo hình ảnh 3D, và One Click Active.
Mặc dù việc sử dụng quảng cáo trên Facebook để phát tán mã độc đánh cắp thông tin không phải là mới, nhưng với sự phổ biến và tốc độ lan truyền nhanh của Facebook, đã khiến những chiến dịch này trở thành mối đe dọa đáng kể cho người sử dụng.
Các tội phạm mạng chạy quảng cáo để quảng bá các chủ đề Windows desktop, các trò chơi miễn phí và các bản crack kích hoạt phần mềm phổ biến như Photoshop, Microsoft Office và Windows.
Những quảng cáo này được quảng bá thông qua các Fanpage mới tạo trên Facebook business pages hoặc bằng cách chiếm quyền điều khiển các Fanpage hiện có. Khi sử dụng các Fanpage bị chiếm quyền, các tội phạm mạng đổi tên chúng để phù hợp với chủ đề quảng cáo và để quảng bá các bản tải xuống đến những thành viên hiện có của Fanpage.
Bằng cách đổi tên các Fanpage, các tội phạm mạng giả danh thành các doanh nghiệp hợp pháp, cho phép họ tận dụng lượng người theo dõi hiện có để khuếch đại phạm vi tiếp cận của quảng cáo gian lận. Mỗi Fapage bị chiếm quyền này đều được quản lý bởi các cá nhân đặt tại Việt Nam hoặc Philippines vào các thời điểm khác nhau.
Các tội phạm này chạy hàng ngàn quảng cáo cho mỗi chiến dịch, với các chiến dịch hàng đầu được đặt tên là blue-softs (8,100 quảng cáo), xtaskbar-themes (4,300 quảng cáo), newtaskbar-themes (2,200 quảng cáo) và awesome-themes-desktop (1,100 quảng cáo).
Khi người dùng Facebook click vào quảng cáo, họ sẽ được chuyển hướng đến các trang web được lưu trữ trên Google Sites hoặc True Hosting giả mạo là trang tải xuống nội dung quảng cáo.
Các trang True Hosting chủ yếu được sử dụng để quảng bá một trang web có tên Blue-Software, cung cấp các bản tải xuống phần mềm và trò chơi miễn phí.
Click vào nút "Download" sẽ khiến trình duyệt tải xuống một tệp ZIP được đặt tên theo mục được quảng bá. Ví dụ, tải xuống các Windows themes giả mạo sẽ nhận được một tệp nén có tên "Awesome_Themes_for_Win_10_11.zip", và Photoshop sẽ là "Adobe_Photoshop_2023.zip."
Người dùng có thể nghĩ rằng họ đang nhận được App, trò chơi hoặc chủ đề Windows miễn phí, nhưng sự thật là tệp nén vừa tải đó đang chứa mã độc SYS01 nhằm đánh cắp thông tin. Dữ liệu bị đánh cắp bao gồm: Cookie trình duyệt, thông tin đăng nhập lưu trong trình duyệt, lịch sử trình duyệt và ví tiền điện tử...
Mã độc cũng bao gồm các tác vụ sử dụng Cookie Facebook tìm thấy trên thiết bị để đánh cắp thông tin tài khoản:
Các chiến dịch quảng cáo độc hại này không chỉ giới hạn trên Facebook, mà còn triển khai trên LinkedIn và YouTube. Theo một ghi nhận gần đây, các tội phạm mạng đang chiếm quyền điều khiển các Fanpage có hàng triệu người dùng để mạo danh các dự án AI phổ biến. Những Fanpage này sau đó được sử dụng để đẩy mã độc đánh cắp thông tin như Rilide, Vidar, IceRAT và Nova.
Tin tặc còn quảng bá các bản tải xuống giả mạo cho trò chơi và phần mềm lậu, Sora AI, trình tạo hình ảnh 3D, và One Click Active.
Mặc dù việc sử dụng quảng cáo trên Facebook để phát tán mã độc đánh cắp thông tin không phải là mới, nhưng với sự phổ biến và tốc độ lan truyền nhanh của Facebook, đã khiến những chiến dịch này trở thành mối đe dọa đáng kể cho người sử dụng.
Các tội phạm mạng chạy quảng cáo để quảng bá các chủ đề Windows desktop, các trò chơi miễn phí và các bản crack kích hoạt phần mềm phổ biến như Photoshop, Microsoft Office và Windows.
Những quảng cáo này được quảng bá thông qua các Fanpage mới tạo trên Facebook business pages hoặc bằng cách chiếm quyền điều khiển các Fanpage hiện có. Khi sử dụng các Fanpage bị chiếm quyền, các tội phạm mạng đổi tên chúng để phù hợp với chủ đề quảng cáo và để quảng bá các bản tải xuống đến những thành viên hiện có của Fanpage.
Bằng cách đổi tên các Fanpage, các tội phạm mạng giả danh thành các doanh nghiệp hợp pháp, cho phép họ tận dụng lượng người theo dõi hiện có để khuếch đại phạm vi tiếp cận của quảng cáo gian lận. Mỗi Fapage bị chiếm quyền này đều được quản lý bởi các cá nhân đặt tại Việt Nam hoặc Philippines vào các thời điểm khác nhau.
Các tội phạm này chạy hàng ngàn quảng cáo cho mỗi chiến dịch, với các chiến dịch hàng đầu được đặt tên là blue-softs (8,100 quảng cáo), xtaskbar-themes (4,300 quảng cáo), newtaskbar-themes (2,200 quảng cáo) và awesome-themes-desktop (1,100 quảng cáo).
Khi người dùng Facebook click vào quảng cáo, họ sẽ được chuyển hướng đến các trang web được lưu trữ trên Google Sites hoặc True Hosting giả mạo là trang tải xuống nội dung quảng cáo.
Các trang True Hosting chủ yếu được sử dụng để quảng bá một trang web có tên Blue-Software, cung cấp các bản tải xuống phần mềm và trò chơi miễn phí.
Click vào nút "Download" sẽ khiến trình duyệt tải xuống một tệp ZIP được đặt tên theo mục được quảng bá. Ví dụ, tải xuống các Windows themes giả mạo sẽ nhận được một tệp nén có tên "Awesome_Themes_for_Win_10_11.zip", và Photoshop sẽ là "Adobe_Photoshop_2023.zip."
Người dùng có thể nghĩ rằng họ đang nhận được App, trò chơi hoặc chủ đề Windows miễn phí, nhưng sự thật là tệp nén vừa tải đó đang chứa mã độc SYS01 nhằm đánh cắp thông tin. Dữ liệu bị đánh cắp bao gồm: Cookie trình duyệt, thông tin đăng nhập lưu trong trình duyệt, lịch sử trình duyệt và ví tiền điện tử...
Mã độc cũng bao gồm các tác vụ sử dụng Cookie Facebook tìm thấy trên thiết bị để đánh cắp thông tin tài khoản:
- Trích xuất thông tin cá nhân như tên, email và ngày sinh.
- Lấy chi tiết tài khoản quảng cáo bao gồm chi tiêu và phương thức thanh toán.
- Dữ liệu về các doanh nghiệp, tài khoản quảng cáo và người dùng doanh nghiệp, có thể truy cập vào dữ liệu thương mại và tài chính nhạy cảm.
- Chi tiết về các Fanpage được quản lý bởi người dùng, bao gồm số lượng người theo dõi và vai trò trên Fapage đó.
Các chiến dịch quảng cáo độc hại này không chỉ giới hạn trên Facebook, mà còn triển khai trên LinkedIn và YouTube. Theo một ghi nhận gần đây, các tội phạm mạng đang chiếm quyền điều khiển các Fanpage có hàng triệu người dùng để mạo danh các dự án AI phổ biến. Những Fanpage này sau đó được sử dụng để đẩy mã độc đánh cắp thông tin như Rilide, Vidar, IceRAT và Nova.
Chỉnh sửa lần cuối: