Chiến dịch quảng cáo độc hại chiếm đoạt tài khoản Facebook để phát tán phần mềm độc hại SYS01stealer

www.tuoitre.vn -   31/10/2024 08:00:00 113

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch quảng cáo độc hại đang diễn ra, lợi dụng nền tảng quảng cáo của Meta và chiếm đoạt tài khoản Facebook để phân phối thông tin được gọi là SYS01stealer.

Chiến dịch quảng cáo độc hại chiếm đoạt tài khoản Facebook để phát tán phần mềm độc hại SYS01stealer

"Những tin tặc đứng sau chiến dịch này sử dụng các thương hiệu đáng tin cậy để mở rộng phạm vi tiếp cận của chúng", Bitdefender Labs cho biết trong một báo cáo được chia sẻ với The Hacker News.

"Chiến dịch quảng cáo độc hại này tận dụng gần một trăm tên miền độc hại, không chỉ được sử dụng để phân phối phần mềm độc hại mà còn cho các hoạt động chỉ huy và kiểm soát (C2) trực tiếp, cho phép các tác nhân đe dọa quản lý cuộc tấn công theo thời gian thực".

SYS01stealer lần đầu tiên được Morphisec ghi nhận vào đầu năm 2023, mô tả các chiến dịch tấn công nhắm vào các tài khoản doanh nghiệp trên Facebook bằng cách sử dụng quảng cáo của Google và các hồ sơ Facebook giả mạo để quảng bá trò chơi, nội dung dành cho người lớn và phần mềm đã bẻ khóa.

Giống như các phần mềm độc hại đánh cắp khác, mục tiêu cuối cùng là đánh cắp thông tin đăng nhập, lịch sử duyệt web và cookie. Nhưng nó cũng tập trung vào việc lấy dữ liệu quảng cáo trên Facebook và tài khoản doanh nghiệp, sau đó được sử dụng để phát tán phần mềm độc hại xa hơn thông qua các quảng cáo giả mạo.

"Các tài khoản Facebook bị chiếm đoạt đóng vai trò là nền tảng để mở rộng toàn bộ hoạt động", Bitdefender lưu ý. "Mỗi tài khoản bị xâm phạm có thể được sử dụng lại để quảng cáo thêm các quảng cáo độc hại, khuếch đại phạm vi tiếp cận của chiến dịch mà không cần tin tặc phải tự tạo tài khoản Facebook mới."

Phương thức chính mà SYS01stealer được phân phối là thông qua quảng cáo độc hại trên các nền tảng như Facebook, YouTube và LinkedIn, với các quảng cáo quảng bá chủ đề Windows, trò chơi, phần mềm AI, trình chỉnh sửa ảnh, VPN và dịch vụ phát trực tuyến phim. Phần lớn các quảng cáo trên Facebook được thiết kế để nhắm mục tiêu đến nam giới từ 45 tuổi trở lên.

"Điều này thực sự dụ dỗ nạn nhân nhấp vào các quảng cáo này và dữ liệu trình duyệt của họ bị đánh cắp", Trustwave cho biết trong một phân tích về phần mềm độc hại vào tháng 7 năm 2024.

"Nếu có thông tin liên quan đến Facebook trong dữ liệu, thì không chỉ dữ liệu trình duyệt của họ bị đánh cắp mà tài khoản Facebook của họ còn có khả năng bị các tác nhân đe dọa kiểm soát để tiếp tục phát tán quảng cáo độc hại và tiếp tục chu kỳ này".

Người dùng cuối cùng tương tác với các quảng cáo sẽ được chuyển hướng đến các trang web lừa đảo được lưu trữ trên Google Sites hoặc True Hosting, mạo danh các thương hiệu và ứng dụng hợp pháp để cố gắng bắt đầu lây nhiễm. Các cuộc tấn công cũng được biết là sử dụng các tài khoản Facebook bị chiếm đoạt để đăng quảng cáo gian lận.

Tải trọng giai đoạn đầu tiên được tải xuống từ các trang web này là một tệp ZIP bao gồm một tệp thực thi lành tính, được sử dụng để tải một tệp DLL độc hại chịu trách nhiệm giải mã và khởi chạy quy trình nhiều giai đoạn.

Điều này bao gồm chạy các lệnh PowerShell để ngăn phần mềm độc hại chạy trong môi trường hộp cát, sửa đổi cài đặt Microsoft Defender Antivirus để loại trừ một số đường dẫn nhất định nhằm tránh bị phát hiện và thiết lập môi trường hoạt động để chạy trình đánh cắp dựa trên PHP.

Trong chuỗi tấn công mới nhất được chuyên gia an ninh mạng quan sát thấy, các tệp ZIP được nhúng vào ứng dụng Electron, cho thấy rằng các tác nhân đe dọa liên tục phát triển các chiến lược của chúng.

Ngoài ra, trong Atom Shell Archive (ASAR) còn có một tệp JavaScript ("main.js") hiện thực thi các lệnh PowerShell để thực hiện kiểm tra hộp cát và thực thi kẻ đánh cắp. Sự bền bỉ trên máy chủ đạt được bằng cách thiết lập các tác vụ theo lịch trình.

"Khả năng thích ứng của tội phạm mạng đằng sau các cuộc tấn công này khiến chiến dịch đánh cắp thông tin SYS01 trở nên đặc biệt nguy hiểm", Bitdefender cho biết. "Phần mềm độc hại sử dụng tính năng phát hiện hộp cát, dừng hoạt động nếu phát hiện ra nó đang được chạy trong môi trường được kiểm soát, thường được các nhà phân tích sử dụng để kiểm tra phần mềm độc hại. Điều này cho phép nó không bị phát hiện trong nhiều trường hợp".

"Khi các công ty an ninh mạng bắt đầu đánh dấu và chặn một phiên bản cụ thể của trình tải, tin tặc sẽ phản ứng nhanh chóng bằng cách cập nhật mã. Sau đó, chúng đưa ra các quảng cáo mới có phần mềm độc hại đã cập nhật để né tránh các biện pháp bảo mật mới nhất".

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

ChatGPT sẽ báo lỗi nếu bạn hỏi về cái tê...

03/12/2024 12:00:00 99
Nhiều người đã thử đủ mọi cách, thậm chí chia sẻ ảnh chụp màn hình chứa tin nhắn có tên này hoặc đổi...

Cuộc tấn công Microsoft 365 mới có thể p...

02/12/2024 12:00:00 93
Một cuộc tấn công phishing mới có thể truy cập vào tài khoản Microsoft 365, ngay cả khi mục tiêu đã ...

Người dùng chưa đủ 18 tuổi sẽ không được...

29/11/2024 12:00:00 83
Bộ lọc (filter) làm đẹp là một trong những tính năng quan trọng và gây nghiện cho đa số người dùng n...

Bộ công cụ lừa đảo mới Xiū gǒu nhắm vào ...

28/11/2024 12:00:00 49
Các nhà nghiên cứu an ninh mạng đã tiết lộ một bộ công cụ lừa đảo mới đã được sử dụng trong các chiế...

Kỹ thuật hack này có thể cách ly may tín...

27/11/2024 12:00:00 40
Để làm được điều đó, hacker sử dụng cáp SATA như là một ăng-ten không dây để truyền dữ liệu và thông...

Tính năng Email được bảo vệ mới của Gmai...

26/11/2024 08:00:00 40
Google đang chuẩn bị một tính năng mới có tên là Shielded Email cho phép người dùng tạo bí danh emai...
Xem thêm

LIÊN HỆ

Thông tin liên hệ

Zalo Button