Phần mềm độc hại NodeStealer chiếm đoạt tài khoản doanh nghiệp trên Facebook để tạo quảng cáo độc hại

Các tài khoản doanh nghiệp Facebook bị xâm nhập đang được sử dụng để chạy các quảng cáo không có thật sử dụng "ảnh hở hang của phụ nữ trẻ" làm mồi nhử để lừa nạn nhân tải xuống phiên bản cập nhật của phần mềm độc hại có tên NodeStealer.

Chuyên gia bảo mật cho biết trong một báo cáo được công bố trong tuần này: “Nhấp vào quảng cáo sẽ tải xuống ngay lập tức một kho lưu trữ chứa tệp 'Album ảnh' .exe độc hại, đồng thời làm rơi tệp thực thi thứ hai được viết bằng .NET – tải trọng này chịu trách nhiệm đánh cắp cookie và mật khẩu của trình duyệt". .

NodeStealer lần đầu tiên được Meta tiết lộ vào tháng 5 năm 2023 dưới dạng phần mềm độc hại JavaScript được thiết kế để hỗ trợ việc chiếm đoạt tài khoản Facebook. Kể từ đó, những kẻ đứng sau hoạt động này đã tận dụng một biến thể dựa trên Python trong các cuộc tấn công của chúng.

Phần mềm độc hại này là một phần của hệ sinh thái tội phạm mạng đang phát triển ở Việt Nam, nơi nhiều kẻ đe dọa đang tận dụng các phương pháp chồng chéo, chủ yếu liên quan đến quảng cáo dưới dạng vectơ trên Facebook để lan truyền.

Chiến dịch mới nhất được công ty an ninh mạng Romania phát hiện không khác gì ở chỗ các quảng cáo độc hại được sử dụng như một phương tiện để xâm nhập tài khoản Facebook của người dùng.

Chuyên gia bảo mật cho biết: “Công cụ Trình quản lý quảng cáo của Meta được khai thác tích cực trong các chiến dịch này nhằm nhắm mục tiêu đến người dùng nam trên Facebook, từ 18 đến 65 tuổi đến từ Châu Âu, Châu Phi và Caribe”. "Nhóm nhân khẩu học bị ảnh hưởng nhiều nhất là nam giới trên 45 tuổi."

Bên cạnh việc phân phối phần mềm độc hại thông qua các tệp thực thi của Windows được ngụy trang dưới dạng album ảnh, các cuộc tấn công đã mở rộng mục tiêu nhắm mục tiêu sang cả người dùng Facebook thông thường. Các tệp thực thi được lưu trữ trên hợp pháp.

Mục tiêu cuối cùng của các cuộc tấn công là tận dụng các cookie bị đánh cắp để vượt qua các cơ chế bảo mật như xác thực hai yếu tố và thay đổi mật khẩu, khóa nạn nhân khỏi tài khoản của họ một cách hiệu quả.

Các nhà nghiên cứu cho biết: “Cho dù là đánh cắp tiền hay lừa đảo nạn nhân mới thông qua các tài khoản bị tấn công, kiểu tấn công độc hại này cho phép tội phạm mạng nằm trong tầm ngắm bằng cách lẻn qua các biện pháp bảo vệ an ninh của Meta”.

Đầu tháng 8 này, HUMAN đã tiết lộ một loại tấn công chiếm đoạt tài khoản khác có tên Capra nhằm vào các nền tảng cá cược bằng cách sử dụng địa chỉ email bị đánh cắp để xác định địa chỉ đã đăng ký và đăng nhập vào tài khoản.

Sự phát triển này diễn ra khi Cisco Talos nêu chi tiết một số trò lừa đảo nhắm mục tiêu vào người dùng nền tảng trò chơi Roblox bằng các liên kết lừa đảo nhằm lấy thông tin xác thực của nạn nhân và đánh cắp Robux, một loại tiền tệ trong ứng dụng có thể được sử dụng để mua bản nâng cấp cho hình đại diện của họ hoặc mua các khả năng đặc biệt trong những trải nghiệm.

Nhà nghiên cứu bảo mật Tiago Pereira cho biết: “Người dùng 'Roblox' có thể trở thành mục tiêu của những kẻ lừa đảo (được người chơi 'Roblox' gọi là 'kẻ tấn công'), những kẻ cố gắng đánh cắp các vật phẩm có giá trị hoặc Robux từ những người chơi khác".

"Điều này đôi khi có thể trở nên dễ dàng hơn đối với những kẻ lừa đảo nhờ cơ sở người dùng trẻ của "Roblox". Gần một nửa trong số 65 triệu người dùng của trò chơi dưới 13 tuổi và có thể không thành thạo trong việc phát hiện các trò gian lận."

Nó cũng theo sau phát hiện của CloudSEK về một chiến dịch thu thập dữ liệu kéo dài hai năm xảy ra ở Trung Đông thông qua mạng lưới khoảng 3.500 tên miền giả liên quan đến bất động sản trong khu vực với mục tiêu thu thập thông tin về người mua và người bán cũng như bán hàng rong. dữ liệu trên các diễn đàn ngầm.

Hương – Theo TheHackerNews