Cẩn trọng tìm việc làm qua Facebook bị đánh cắp tiền điện tử và thông tin xác thực
Những kẻ tấn công an ninh mạng đang tận dụng các quảng cáo việc làm không có thật trên Facebook để dụ dỗ các nạn nhân cài đặt phần mềm độc hại đánh cắp tiền điện tử và thông tin xác thực trên Windows có tên mã là Ov3r_Stealer.
Phần mềm độc hại này được thiết kế để đánh cắp thông tin xác thực và ví tiền điện tử rồi gửi chúng đến kênh Telegram mà tác nhân đe dọa giám sát.
Ov3r_Stealer có khả năng lấy vị trí dựa trên địa chỉ IP, thông tin phần cứng, mật khẩu, cookie, thông tin thẻ tín dụng, tự động điền, tiện ích mở rộng trình duyệt, ví tiền điện tử, tài liệu Microsoft Office và danh sách các sản phẩm chống vi-rút được cài đặt trên máy chủ bị xâm nhập.
Mặc dù chưa xác định được mục tiêu cuối cùng chính xác của chiến dịch nhưng có khả năng thông tin bị đánh cắp sẽ được rao bán cho các tác nhân đe dọa khác. Một khả năng khác là Ov3r_Stealer có thể được cập nhật theo thời gian để hoạt động như một trình tải giống QakBot cho các tải trọng bổ sung, bao gồm cả mã độc tống tiền ransomware.
Điểm bắt đầu của cuộc tấn công là một tệp PDF được vũ khí hóa có mục đích là một tệp được lưu trữ trên OneDrive, thúc giục người dùng nhấp vào nút "Truy cập tài liệu" được nhúng vào đó. Tệp PDF này chia sẻ trên một tài khoản Facebook giả mạo Giám Đốc Điều Hành Amazon Andy Jassy thông qua quảng cáo Facebook cho các công việc quảng cáo trực tuyến.
Người dùng cuối nhấp vào nút sẽ được cung cấp shortcut internet (.URL) giả dạng tài liệu DocuSign được lưu trữ trên mạng phân phối nội dung của Discord (CDN). Sau đó, tệp lối tắt hoạt động như một ống dẫn để phân phối tệp mục bảng điều khiển (.CPL), sau đó được thực thi bằng cách sử dụng tệp nhị phân quy trình Bảng điều khiển Windows ("control.exe").
Việc thực thi tệp CPL dẫn đến việc truy xuất trình tải PowerShell ("DATA1.txt") từ kho lưu trữ GitHub để cuối cùng khởi chạy Ov3r_Stealer.
Các tác nhân đe dọa đang quảng cáo quyền truy cập của họ vào các cổng yêu cầu thực thi pháp luật của các tổ chức lớn như Binance, Google, Meta và TikTok bằng cách khai thác thông tin xác thực thu được từ việc lây nhiễm thông tin. Chúng lợi dụng phần mềm bẻ khoá làm vector truy cập vào các trình tải như PrivateLoader và SmokeLoader, sau đó hoạt động như một cơ chế phân phối cho những kẻ đánh cắp thông tin, thợ đào tiền điện tử, mạng botnet proxy và phần mềm tống tiền.
Hãy hết sức cẩn trọng khi nhấp vào bất kỳ quảng cáo hay đường link nào đặc biệt là trong bối cảnh các tội phạm mạng ngày nay đang dùng đa dạng thủ thuật và chiêu trò tinh vi để dẫn dắt các nạn nhân tự truy cập, tải các phần mềm độc hại về thiết bị của họ.
Hương – Theo TheHackerNews
TIN CÙNG CHUYÊN MỤC
1 tiện ích Chrome nhiễm mã độc có 280 tr...
Không đảm bảo về bảo mật và kiểm duyệt, ...
Ứng dụng AI - DeepSeek bị hack và rò rỉ ...
Router Wi-Fi hiệu TP-Link có thể bị Mỹ c...
Tính năng tìm kiếm mới trên Windows 11 g...
Lừa đảo quảng cáo độc hại sử dụng Quảng ...
-
Khai Xuân Phú Quý, Bóc Lì Xì Vui
-
Thông báo thời gian nghỉ lễ Tết Nguyên Đán Ất Tỵ 2...
-
Không đảm bảo về bảo mật và kiểm duyệt, sao chatbo...
-
Hướng dẫn cách dùng DeepSeek dễ dàng với 3 bước
-
Có nên cài đặt chế độ nền tối Dark Mode cho điện t...
-
Ứng dụng AI - DeepSeek bị hack và rò rỉ dữ liệu ng...
-
1 tiện ích Chrome nhiễm mã độc có 280 triệu lượt t...
-
Không đảm bảo về bảo mật và kiểm duyệt, sao chatbo...
-
Khai Xuân Phú Quý, Bóc Lì Xì Vui
-
Có nên cài đặt chế độ nền tối Dark Mode cho điện t...
-
Ứng dụng AI - DeepSeek bị hack và rò rỉ dữ liệu ng...
-
Router Wi-Fi hiệu TP-Link có thể bị Mỹ cấm cửa vì ...
LIÊN HỆ
