Phát hiện chiến dịch mã độc phát tán thông qua các trang Facebook đã xác minh (có tích xanh)

Trở lại thời điểm tháng 5 vừa qua, Meta đã âm thầm phát hành một báo cáo bảo mật về các mối đe dọa dựa trên phần mềm độc hại mới nhất nhắm mục tiêu đến người dùng trên Facebook. Với sự xuất hiện của AI và ChatGPT, các chủng phần mềm độc hại lâu đời, bao gồm Ducktail và NodeStealer, đã dần tái xuất và đóng vai trò trung tâm trong các chiến dịch tấn công vào hệ thống quảng cáo của Facebook nhằm phân phối phần mềm độc hại trái phép.

Mô-típ triển khai không có gì phức tạp. Hacker sẽ nhắm mục tiêu vào các trang Facebook đã được xác minh (có tích xanh), và đổi tên chúng thành những thương hiệu đáng tin cậy như Facebook, Meta, Google AI, Bard, v.v. Các trang được đổi thương hiệu này với các dấu tích xanh đã xác minh sau đó được sử dụng để chạy quảng cáo có liên kết đến phần mềm độc hại.

Phía Meta tuyên bố đã làm gián đoạn hoạt động của một số chủng phần mềm độc hại với khả năng thích ứng chóng trong một số chiến dịch tấn công. Theo báo cáo của Group-IB, hơn 3.200 trang và hồ sơ trên Facebook đã bị xâm phạm để mạo danh các thương hiệu công nghệ, bao gồm những từ khóa “hot” thời gian gần đây như AI, ChatGPT và Bard. Sau hai tháng giảm sự hiện diện, các nhóm phần mềm độc hại tiếp tục tàn phá Facebook lần nữa với một chiến dịch tấn công mới.

Lần này, các hoạt động quảng cáo phần mềm độc hại được tin tặc phân phối thông qua những trang Facebook bị xâm nhập. Các nhà nghiên cứu bảo mật quốc tế mới đây đã phát hiện một nhóm quảng cáo độc hại này bắt chước Google. Quảng cáo chứa liên kết đến trang tải xuống được lưu trữ trên nền tảng Google Sites. Nó bao gồm một liên kết download trực tiếp lưu trữ trên DropBox tới tệp RAR, thực chất là phần mềm độc hại với kích thước 4,26MB.

Trên thực tế, Chrome có thể phát hiện phần mềm độc hại trong quá trình tải xuống và ngăn chặn trước khi nó có thể tấn công thiết bị. Tuy nhiên, vấn đề nằm ở chỗ Windows Defender lại không phát hiện được phần mềm này là độc hại ngay cả khi trình cài đặt của nó đang chạy trên hệ thống.

Để hạn chế người dùng bị ảnh hưởng bởi phần mềm độc hại và nâng cao nhận thức, Facebook đã thêm mục "Page transparency” (Tính minh bạch của trang) vào tất cả các page để hiển thị lịch sử thay đổi tên, quốc gia xuất xứ, cùng các chi tiết khác của trang. Hai trang gần đây đã bị tấn công là "গাছগাছালি" vào ngày 19 và "SONAX Bangladesh" vào ngày 27 tháng 7 đều được đổi tên thành AI Marketing.

Ở thời điểm hiện tại, các trang này vẫn đang hoạt động, liên kết đến phần mềm độc hại cũng vẫn khả dụng và đang được lưu trữ trên DropBox. Bạn nên cảnh giác với việc download ngay với các trang dường như đã được xác minh trên Facebook. Nếu bạn không chắc chắn về danh tính của trang, bạn có thể điều hướng đến phần Giới thiệu của trang để biết chi tiết về lịch sử của trang và bất kỳ sự đổi tên nào trong quá khứ.

Theo TheHackerNews