Quảng cáo trên Facebook dẫn đến các trang web giả mạo đánh cắp thông tin thẻ tín dụng
Người dùng Facebook là mục tiêu của một mạng lưới thương mại điện tử lừa đảo sử dụng hàng trăm trang web giả mạo để đánh cắp dữ liệu cá nhân và tài chính bằng cách mạo danh thương hiệu và các thủ thuật quảng cáo độc hại.
Nhóm Tình báo gian lận thanh toán của Recorded Future, phát hiện ra chiến dịch vào ngày 17 tháng 4 năm 2024, đã đặt tên cho chiến dịch là ERIAKOS do sử dụng cùng một mạng phân phối nội dung (CDN) oss.eriakos[.]com.
"Những trang web gian lận này chỉ có thể truy cập được thông qua thiết bị di động và các mồi quảng cáo, một chiến thuật nhằm trốn tránh các hệ thống phát hiện tự động", công ty cho biết, lưu ý rằng mạng lưới bao gồm 608 trang web gian lận và hoạt động này kéo dài trong một số đợt ngắn.
Một khía cạnh đáng chú ý của chiến dịch tinh vi này là nó chỉ nhắm mục tiêu vào những người dùng thiết bị di động đã truy cập các trang web lừa đảo thông qua các mồi quảng cáo trên Facebook, một số trong số đó dựa vào các đợt giảm giá có thời hạn để dụ người dùng nhấp vào chúng. Recorded Future cho biết có tới 100 Quảng cáo Meta liên quan đến một trang web lừa đảo duy nhất được phục vụ trong một ngày.
Các trang web và quảng cáo giả mạo chủ yếu mạo danh một nền tảng thương mại điện tử trực tuyến lớn và một nhà sản xuất dụng cụ điện, cũng như nhắm vào nạn nhân bằng các ưu đãi bán hàng giả mạo cho các sản phẩm từ nhiều thương hiệu nổi tiếng khác nhau. Một cơ chế phân phối quan trọng khác bao gồm việc sử dụng các bình luận giả mạo của người dùng trên Facebook để dụ dỗ các nạn nhân tiềm năng.
"Các tài khoản thương gia và tên miền liên quan được liên kết với các trang web lừa đảo được đăng ký tại Trung Quốc, cho thấy những kẻ đe dọa thực hiện chiến dịch này có khả năng đã thành lập doanh nghiệp mà chúng sử dụng để quản lý các tài khoản thương gia lừa đảo tại Trung Quốc", Recorded Future lưu ý.
Đây không phải là lần đầu tiên các mạng lưới thương mại điện tử tội phạm xuất hiện với mục đích thu thập thông tin thẻ tín dụng và kiếm lợi bất hợp pháp từ các đơn đặt hàng giả mạo. Vào tháng 5 năm 2024, một mạng lưới khổng lồ gồm 75.000 cửa hàng trực tuyến giả mạo - được gọi là BogusBazaar - đã bị phát hiện đã kiếm được hơn 50 triệu đô la bằng cách quảng cáo giày dép và quần áo của các thương hiệu nổi tiếng với giá thấp.
Sau đó vào tháng trước, Orange Cyberdefense đã tiết lộ một hệ thống chỉ đường lưu lượng truy cập (TDS) chưa được ghi chép trước đó có tên là R0bl0ch0n TDS được sử dụng để quảng bá các vụ lừa đảo tiếp thị liên kết thông qua mạng lưới các trang web khảo sát cửa hàng và rút thăm trúng thưởng giả mạo với mục tiêu là lấy thông tin thẻ tín dụng.
"Một số vectơ riêng biệt được sử dụng để phát tán ban đầu các URL chuyển hướng qua R0bl0ch0n TDS, cho thấy rằng các chiến dịch này có khả năng được thực hiện bởi các chi nhánh khác nhau", nhà nghiên cứu bảo mật Simon Vernin cho biết.
Sự phát triển này diễn ra khi các quảng cáo Google giả mạo được hiển thị khi tìm kiếm Google Authenticator trên công cụ tìm kiếm đã được quan sát thấy chuyển hướng người dùng đến một trang web lừa đảo ("chromeweb-authenticators[.]com") cung cấp tệp thực thi Windows được lưu trữ trên GitHub, cuối cùng sẽ thả một trình đánh cắp thông tin có tên là DeerStealer.
Theo Malwarebytes, điều khiến các quảng cáo có vẻ hợp pháp là chúng xuất hiện như thể chúng đến từ "google.com" và danh tính của nhà quảng cáo đã được Google xác minh. Malwarebytes cho biết "một cá nhân không xác định nào đó đã có thể mạo danh Google và phát tán thành công phần mềm độc hại được ngụy trang thành sản phẩm mang thương hiệu Google".
Các chiến dịch quảng cáo độc hại cũng đã được phát hiện phát tán nhiều họ phần mềm độc hại khác như SocGholish (hay còn gọi là FakeUpdates), MadMxShell và WorkersDevBackdoor, với Malwarebytes phát hiện ra sự chồng chéo về cơ sở hạ tầng giữa hai họ phần mềm độc hại sau, cho thấy rằng chúng có khả năng do cùng một tác nhân đe dọa điều hành.
Trên hết, các quảng cáo cho Angry IP Scanner đã được sử dụng để dụ người dùng đến các trang web giả mạo và địa chỉ email "goodgoo1ge@protonmail[.]com" đã được sử dụng để đăng ký các tên miền cung cấp cả MadMxShell và WorkersDevBackdoor.
"Cả hai phần mềm độc hại đều có khả năng thu thập và đánh cắp dữ liệu nhạy cảm, cũng như cung cấp đường dẫn nhập trực tiếp cho các nhà môi giới truy cập ban đầu liên quan đến việc triển khai phần mềm tống tiền", nhà nghiên cứu bảo mật Jerome Segura cho biết.
Hương – Theo TheHackerNews
TIN CÙNG CHUYÊN MỤC
Liệu công cụ kiểm tra nội dung AI có đán...
Công cụ AI tạo sinh được bổ sung thêm tr...
Máy tính liên tục khởi động lại vì bản c...
Lỗ hổng ChatGPT macOS có thể kích hoạt p...
Phát hiện lỗi lạ gây ra hiệu suất thiếu ...
Mozilla đối mặt với khiếu nại về quyền...
- Back to school – KASPERSKY TẶNG BẠN VOUCHER GRAB T...
- Bảo vệ toàn diện nhận ngay thêm 6 tháng miễn phí
- Hoạt động tội phạm mạng trên nền tảng Telegram tăn...
- Mozilla đối mặt với khiếu nại về quyền riêng tư ...
- Lỗ hổng ChatGPT macOS có thể kích hoạt phần mềm gi...
- Kaspersky: Cứ 5 người Việt Nam thì có 1 người từng...
- Hướng dẫn cài đặt Kaspersky For Android với Kasper...
- Hướng dẫn cài đặt Kaspersky Safe Kids For Android ...
- Tại sao không tìm thấy các sản phẩm của Kaspersky ...
- Liệu công cụ kiểm tra nội dung AI có đáng tin khôn...
- Công cụ AI tạo sinh được bổ sung thêm trên Microso...
- Máy tính liên tục khởi động lại vì bản cập nhật Wi...