Cẩn trọng tìm việc làm qua Facebook bị đánh cắp tiền điện tử và thông tin xác thực

www.tuoitre.vn -   06/02/2024 08:00:00 4307

Những kẻ tấn công an ninh mạng đang tận dụng các quảng cáo việc làm không có thật trên Facebook để dụ dỗ các nạn nhân cài đặt phần mềm độc hại đánh cắp tiền điện tử và thông tin xác thực trên Windows có tên mã là Ov3r_Stealer.

Cẩn trọng tìm việc làm qua Facebook bị đánh cắp tiền điện tử và thông tin xác thực

Phần mềm độc hại này được thiết kế để đánh cắp thông tin xác thực và ví tiền điện tử rồi gửi chúng đến kênh Telegram mà tác nhân đe dọa giám sát.

Ov3r_Stealer có khả năng lấy vị trí dựa trên địa chỉ IP, thông tin phần cứng, mật khẩu, cookie, thông tin thẻ tín dụng, tự động điền, tiện ích mở rộng trình duyệt, ví tiền điện tử, tài liệu Microsoft Office và danh sách các sản phẩm chống vi-rút được cài đặt trên máy chủ bị xâm nhập.

Mặc dù chưa xác định được mục tiêu cuối cùng chính xác của chiến dịch nhưng có khả năng thông tin bị đánh cắp sẽ được rao bán cho các tác nhân đe dọa khác. Một khả năng khác là Ov3r_Stealer có thể được cập nhật theo thời gian để hoạt động như một trình tải giống QakBot cho các tải trọng bổ sung, bao gồm cả mã độc tống tiền ransomware.

Điểm bắt đầu của cuộc tấn công là một tệp PDF được vũ khí hóa có mục đích là một tệp được lưu trữ trên OneDrive, thúc giục người dùng nhấp vào nút "Truy cập tài liệu" được nhúng vào đó. Tệp PDF này chia sẻ trên một tài khoản Facebook giả mạo Giám Đốc Điều Hành Amazon Andy Jassy thông qua quảng cáo Facebook cho các công việc quảng cáo trực tuyến.

Người dùng cuối nhấp vào nút sẽ được cung cấp shortcut internet (.URL) giả dạng tài liệu DocuSign được lưu trữ trên mạng phân phối nội dung của Discord (CDN). Sau đó, tệp lối tắt hoạt động như một ống dẫn để phân phối tệp mục bảng điều khiển (.CPL), sau đó được thực thi bằng cách sử dụng tệp nhị phân quy trình Bảng điều khiển Windows ("control.exe").

Việc thực thi tệp CPL dẫn đến việc truy xuất trình tải PowerShell ("DATA1.txt") từ kho lưu trữ GitHub để cuối cùng khởi chạy Ov3r_Stealer.

Các tác nhân đe dọa đang quảng cáo quyền truy cập của họ vào các cổng yêu cầu thực thi pháp luật của các tổ chức lớn như Binance, Google, Meta và TikTok bằng cách khai thác thông tin xác thực thu được từ việc lây nhiễm thông tin. Chúng lợi dụng phần mềm bẻ khoá làm vector truy cập vào các trình tải như PrivateLoader và SmokeLoader, sau đó hoạt động như một cơ chế phân phối cho những kẻ đánh cắp thông tin, thợ đào tiền điện tử, mạng botnet proxy và phần mềm tống tiền.

Hãy hết sức cẩn trọng khi nhấp vào bất kỳ quảng cáo hay đường link nào đặc biệt là trong bối cảnh các tội phạm mạng ngày nay đang dùng đa dạng thủ thuật và chiêu trò tinh vi để dẫn dắt các nạn nhân tự truy cập, tải các phần mềm độc hại về thiết bị của họ.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Nguy cơ mất tiền từ Phishing - giả mạo đ...

22/04/2024 08:00:00 15
Giả mạo để lừa đảo (Phishing) là một chiêu thức không mới nhưng hiệu quả trong việc thu hút nạn nhân...

Tài khoản Microsoft 365 và Gmail đối mặt...

02/04/2024 12:00:00 491
Mặc dù xác thực hai yếu tố (2FA) được xem là phương pháp bảo mật an toàn nhưng bộ công cụ lừa đảo mớ...

Nếu vẫn dùng Windows 10 và muốn cập nhật...

01/04/2024 12:00:00 91
Không phải người dùng nào cũng muốn hoặc có đủ điều kiện để nâng cấp lên Windows 11 hay mua PC mới, ...

Năm công nghệ của Kaspersky để bảo vệ tà...

29/03/2024 08:00:00 478
Tài chính kỹ thuật số của chúng ta dễ bị tấn công bởi tội phạm kỹ thuật số. Hãy cùng xem xét cách cá...

Những ứng dụng Android độc hại núp bóng ...

29/03/2024 12:00:00 473
Nhiều ứng dụng trong số này tuyên bố cung cấp dịch vụ VPN (mạng riêng ảo) miễn phí nên đã có hàng tr...

Giải pháp bảo mật của Kaspersky giành đư...

28/03/2024 08:00:00 57
Vào năm 2023, các sản phẩm và giải pháp của Kaspersky đã tham gia chính xác 100 nghiên cứu độc lập —...
Xem thêm

LIÊN HỆ

Thông tin liên hệ