Quảng cáo trên Facebook dẫn đến các trang web giả mạo đánh cắp thông tin thẻ tín dụng

www.tuoitre.vn -   05/08/2024 08:00:00 39

Người dùng Facebook là mục tiêu của một mạng lưới thương mại điện tử lừa đảo sử dụng hàng trăm trang web giả mạo để đánh cắp dữ liệu cá nhân và tài chính bằng cách mạo danh thương hiệu và các thủ thuật quảng cáo độc hại.

Quảng cáo trên Facebook dẫn đến các trang web giả mạo đánh cắp thông tin thẻ tín dụng

Nhóm Tình báo gian lận thanh toán của Recorded Future, phát hiện ra chiến dịch vào ngày 17 tháng 4 năm 2024, đã đặt tên cho chiến dịch là ERIAKOS do sử dụng cùng một mạng phân phối nội dung (CDN) oss.eriakos[.]com.

"Những trang web gian lận này chỉ có thể truy cập được thông qua thiết bị di động và các mồi quảng cáo, một chiến thuật nhằm trốn tránh các hệ thống phát hiện tự động", công ty cho biết, lưu ý rằng mạng lưới bao gồm 608 trang web gian lận và hoạt động này kéo dài trong một số đợt ngắn.

Một khía cạnh đáng chú ý của chiến dịch tinh vi này là nó chỉ nhắm mục tiêu vào những người dùng thiết bị di động đã truy cập các trang web lừa đảo thông qua các mồi quảng cáo trên Facebook, một số trong số đó dựa vào các đợt giảm giá có thời hạn để dụ người dùng nhấp vào chúng. Recorded Future cho biết có tới 100 Quảng cáo Meta liên quan đến một trang web lừa đảo duy nhất được phục vụ trong một ngày.

Các trang web và quảng cáo giả mạo chủ yếu mạo danh một nền tảng thương mại điện tử trực tuyến lớn và một nhà sản xuất dụng cụ điện, cũng như nhắm vào nạn nhân bằng các ưu đãi bán hàng giả mạo cho các sản phẩm từ nhiều thương hiệu nổi tiếng khác nhau. Một cơ chế phân phối quan trọng khác bao gồm việc sử dụng các bình luận giả mạo của người dùng trên Facebook để dụ dỗ các nạn nhân tiềm năng.

"Các tài khoản thương gia và tên miền liên quan được liên kết với các trang web lừa đảo được đăng ký tại Trung Quốc, cho thấy những kẻ đe dọa thực hiện chiến dịch này có khả năng đã thành lập doanh nghiệp mà chúng sử dụng để quản lý các tài khoản thương gia lừa đảo tại Trung Quốc", Recorded Future lưu ý.

Đây không phải là lần đầu tiên các mạng lưới thương mại điện tử tội phạm xuất hiện với mục đích thu thập thông tin thẻ tín dụng và kiếm lợi bất hợp pháp từ các đơn đặt hàng giả mạo. Vào tháng 5 năm 2024, một mạng lưới khổng lồ gồm 75.000 cửa hàng trực tuyến giả mạo - được gọi là BogusBazaar - đã bị phát hiện đã kiếm được hơn 50 triệu đô la bằng cách quảng cáo giày dép và quần áo của các thương hiệu nổi tiếng với giá thấp.

Sau đó vào tháng trước, Orange Cyberdefense đã tiết lộ một hệ thống chỉ đường lưu lượng truy cập (TDS) chưa được ghi chép trước đó có tên là R0bl0ch0n TDS được sử dụng để quảng bá các vụ lừa đảo tiếp thị liên kết thông qua mạng lưới các trang web khảo sát cửa hàng và rút thăm trúng thưởng giả mạo với mục tiêu là lấy thông tin thẻ tín dụng.

"Một số vectơ riêng biệt được sử dụng để phát tán ban đầu các URL chuyển hướng qua R0bl0ch0n TDS, cho thấy rằng các chiến dịch này có khả năng được thực hiện bởi các chi nhánh khác nhau", nhà nghiên cứu bảo mật Simon Vernin cho biết.

Sự phát triển này diễn ra khi các quảng cáo Google giả mạo được hiển thị khi tìm kiếm Google Authenticator trên công cụ tìm kiếm đã được quan sát thấy chuyển hướng người dùng đến một trang web lừa đảo ("chromeweb-authenticators[.]com") cung cấp tệp thực thi Windows được lưu trữ trên GitHub, cuối cùng sẽ thả một trình đánh cắp thông tin có tên là DeerStealer.

Theo Malwarebytes, điều khiến các quảng cáo có vẻ hợp pháp là chúng xuất hiện như thể chúng đến từ "google.com" và danh tính của nhà quảng cáo đã được Google xác minh. Malwarebytes cho biết "một cá nhân không xác định nào đó đã có thể mạo danh Google và phát tán thành công phần mềm độc hại được ngụy trang thành sản phẩm mang thương hiệu Google".

Các chiến dịch quảng cáo độc hại cũng đã được phát hiện phát tán nhiều họ phần mềm độc hại khác như SocGholish (hay còn gọi là FakeUpdates), MadMxShell và WorkersDevBackdoor, với Malwarebytes phát hiện ra sự chồng chéo về cơ sở hạ tầng giữa hai họ phần mềm độc hại sau, cho thấy rằng chúng có khả năng do cùng một tác nhân đe dọa điều hành.

Trên hết, các quảng cáo cho Angry IP Scanner đã được sử dụng để dụ người dùng đến các trang web giả mạo và địa chỉ email "goodgoo1ge@protonmail[.]com" đã được sử dụng để đăng ký các tên miền cung cấp cả MadMxShell và WorkersDevBackdoor.

"Cả hai phần mềm độc hại đều có khả năng thu thập và đánh cắp dữ liệu nhạy cảm, cũng như cung cấp đường dẫn nhập trực tiếp cho các nhà môi giới truy cập ban đầu liên quan đến việc triển khai phần mềm tống tiền", nhà nghiên cứu bảo mật Jerome Segura cho biết.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Liệu công cụ kiểm tra nội dung AI có đán...

03/10/2024 12:00:00 50
Trên thực tế, công cụ kiểm tra nội dung AI không phải lúc nào cũng đáng tin cậy và các ví dụ sau đây...

Công cụ AI tạo sinh được bổ sung thêm tr...

02/10/2024 12:00:00 57
Với bản nâng cấp cho Microsoft Paint, người dùng rất háo hức muốn xem chất lượng hình ảnh mọi người ...

Máy tính liên tục khởi động lại vì bản c...

01/10/2024 12:00:00 53
Máy tính gặp sự cố sẽ xuất hiện lỗi màu xanh lam hoặc xanh lục, đôi khi xuất hiện công cụ Windows Au...

Lỗ hổng ChatGPT macOS có thể kích hoạt p...

30/09/2024 08:00:00 82
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể khiến kẻ...

Phát hiện lỗi lạ gây ra hiệu suất thiếu ...

30/09/2024 12:00:00 57
Trong thời gian sớm nhất, bản cập nhật mới sẽ được phát hành ra công chúng.

Mozilla đối mặt với ​​khiếu nại về quyền...

27/09/2024 08:00:00 84
Tổ chức phi lợi nhuận về quyền riêng tư noyb (viết tắt của None Of Your Business) có trụ sở tại Vien...
Xem thêm

LIÊN HỆ

Thông tin liên hệ