Cẩn trọng tìm việc làm qua Facebook bị đánh cắp tiền điện tử và thông tin xác thực

www.tuoitre.vn -   06/02/2024 08:00:00 6965

Những kẻ tấn công an ninh mạng đang tận dụng các quảng cáo việc làm không có thật trên Facebook để dụ dỗ các nạn nhân cài đặt phần mềm độc hại đánh cắp tiền điện tử và thông tin xác thực trên Windows có tên mã là Ov3r_Stealer.

Cẩn trọng tìm việc làm qua Facebook bị đánh cắp tiền điện tử và thông tin xác thực

Phần mềm độc hại này được thiết kế để đánh cắp thông tin xác thực và ví tiền điện tử rồi gửi chúng đến kênh Telegram mà tác nhân đe dọa giám sát.

Ov3r_Stealer có khả năng lấy vị trí dựa trên địa chỉ IP, thông tin phần cứng, mật khẩu, cookie, thông tin thẻ tín dụng, tự động điền, tiện ích mở rộng trình duyệt, ví tiền điện tử, tài liệu Microsoft Office và danh sách các sản phẩm chống vi-rút được cài đặt trên máy chủ bị xâm nhập.

Mặc dù chưa xác định được mục tiêu cuối cùng chính xác của chiến dịch nhưng có khả năng thông tin bị đánh cắp sẽ được rao bán cho các tác nhân đe dọa khác. Một khả năng khác là Ov3r_Stealer có thể được cập nhật theo thời gian để hoạt động như một trình tải giống QakBot cho các tải trọng bổ sung, bao gồm cả mã độc tống tiền ransomware.

Điểm bắt đầu của cuộc tấn công là một tệp PDF được vũ khí hóa có mục đích là một tệp được lưu trữ trên OneDrive, thúc giục người dùng nhấp vào nút "Truy cập tài liệu" được nhúng vào đó. Tệp PDF này chia sẻ trên một tài khoản Facebook giả mạo Giám Đốc Điều Hành Amazon Andy Jassy thông qua quảng cáo Facebook cho các công việc quảng cáo trực tuyến.

Người dùng cuối nhấp vào nút sẽ được cung cấp shortcut internet (.URL) giả dạng tài liệu DocuSign được lưu trữ trên mạng phân phối nội dung của Discord (CDN). Sau đó, tệp lối tắt hoạt động như một ống dẫn để phân phối tệp mục bảng điều khiển (.CPL), sau đó được thực thi bằng cách sử dụng tệp nhị phân quy trình Bảng điều khiển Windows ("control.exe").

Việc thực thi tệp CPL dẫn đến việc truy xuất trình tải PowerShell ("DATA1.txt") từ kho lưu trữ GitHub để cuối cùng khởi chạy Ov3r_Stealer.

Các tác nhân đe dọa đang quảng cáo quyền truy cập của họ vào các cổng yêu cầu thực thi pháp luật của các tổ chức lớn như Binance, Google, Meta và TikTok bằng cách khai thác thông tin xác thực thu được từ việc lây nhiễm thông tin. Chúng lợi dụng phần mềm bẻ khoá làm vector truy cập vào các trình tải như PrivateLoader và SmokeLoader, sau đó hoạt động như một cơ chế phân phối cho những kẻ đánh cắp thông tin, thợ đào tiền điện tử, mạng botnet proxy và phần mềm tống tiền.

Hãy hết sức cẩn trọng khi nhấp vào bất kỳ quảng cáo hay đường link nào đặc biệt là trong bối cảnh các tội phạm mạng ngày nay đang dùng đa dạng thủ thuật và chiêu trò tinh vi để dẫn dắt các nạn nhân tự truy cập, tải các phần mềm độc hại về thiết bị của họ.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Kaspersky: Botnet được rao bán với giá c...

16/07/2024 02:00:00 16
Các chuyên gia tại Kaspersky Digital Footprint đã phân tích hành vi rao bán botnet trên các trang da...

Kaspersky hướng dẫn cách hạn chế rủi ro ...

05/07/2024 02:00:00 536
Với nhu cầu kết nối mạng mọi lúc mọi nơi, người dùng công nghệ có thói quen sử dụng Wi-Fi công cộng ...

Kaspersky nhận định tình trạng lây nhiễm...

01/07/2024 02:00:00 1.112
Báo cáo mới nhất của Kaspersky tiết lộ số vụ lây nhiễm trong các doanh nghiệp vừa và nhỏ (SMBs) đã t...

TeamViewer phát hiện vi phạm bảo mật tro...

28/06/2024 08:00:00 997
TeamViewer hôm thứ Năm tiết lộ rằng họ đã phát hiện ra "sự bất thường" trong môi trường CNTT nội bộ ...

Lỗi thanh taskbar phát sinh từ các bản c...

28/06/2024 12:00:00 95
Theo xác nhận từ Microsoft và tài liệu chính thức, khách hàng bị ảnh hưởng không thể tương tác với t...

Apple vá lỗ hổng Bluetooth của AirPods c...

27/06/2024 08:00:00 940
Apple đã phát hành bản cập nhật chương trình cơ sở cho AirPods có thể cho phép kẻ xấu truy cập vào t...
Xem thêm

LIÊN HỆ

Thông tin liên hệ