Tội phạm mạng Việt Nam nhắm mục tiêu vào các tài khoản doanh nghiệp trên Facebook bằng quảng cáo độc hại
Những tác nhân độc hại có liên quan đến hệ sinh thái tội phạm mạng Việt Nam đang tận dụng quảng cáo dưới dạng vectơ trên các nền tảng truyền thông xã hội như Facebook do Meta sở hữu để phát tán phần mềm độc hại.
Nhà nghiên cứu Mohammad Kazem Hassan Nejad cho biết: “Những kẻ đe dọa từ lâu đã sử dụng quảng cáo lừa đảo như một phương tiện để nhắm mục tiêu vào các nạn nhân bằng lừa đảo, quảng cáo độc hại, v.v.”. “Và với việc các doanh nghiệp hiện đang tận dụng phạm vi tiếp cận của mạng xã hội để quảng cáo, những kẻ tấn công có một kiểu tấn công mới, có khả năng sinh lợi cao để bổ sung vào kho vũ khí của chúng – chiếm đoạt tài khoản doanh nghiệp.”
Các cuộc tấn công mạng nhắm vào tài khoản Meta Business và Facebook đã trở nên phổ biến trong năm qua, nhờ các cụm hoạt động như Ducktail và NodeStealer thường tấn công các doanh nghiệp và cá nhân hoạt động trên Facebook.
Trong số các phương pháp được tội phạm mạng sử dụng để truy cập trái phép vào tài khoản người dùng, kỹ thuật lừa đảo xã hội đóng một vai trò quan trọng.
Nạn nhân được tiếp cận thông qua nhiều nền tảng khác nhau, từ Facebook và LinkedIn đến WhatsApp và các cổng việc làm tự do như Upwork. Một cơ chế phân phối khác được biết đến là việc sử dụng đầu độc công cụ tìm kiếm để tăng cường phần mềm không có thật như CapCut, Notepad++, OpenAI ChatGPT, Google Bard và Meta Threads.
Một yếu tố phổ biến đối với các nhóm này là lạm dụng các dịch vụ rút ngắn URL, Telegram để ra lệnh và kiểm soát (C2) và các dịch vụ đám mây hợp pháp như Trello, Discord, Dropbox, iCloud, OneDrive và Mediafire để lưu trữ các tải trọng độc hại.
Ví dụ, những kẻ đứng đằng sau Ducktail tận dụng các chiêu dụ liên quan đến các dự án tiếp thị và thương hiệu để xâm nhập vào các cá nhân và doanh nghiệp hoạt động trên nền tảng Kinh doanh của Meta, với các làn sóng tấn công mới sử dụng các chủ đề liên quan đến việc làm và tuyển dụng để kích hoạt sự lây nhiễm.
Trong các cuộc tấn công này, các mục tiêu tiềm năng được hướng đến các bài đăng không có thật trên Upwork và Freelancer thông qua quảng cáo Facebook hoặc LinkedIn InMail, do đó chứa liên kết đến tệp mô tả công việc bị bẫy được lưu trữ trên một trong những nhà cung cấp lưu trữ đám mây nói trên, cuối cùng dẫn đến đến việc triển khai phần mềm độc hại đánh cắp Ducktail.
Sudeep Singh và Naveen Selvan, nhà nghiên cứu của Zscaler ThreatLabz, lưu ý trong một phân tích song song: “Phần mềm độc hại Ducktail đánh cắp cookie phiên đã lưu từ trình duyệt, với mã được thiết kế riêng để chiếm đoạt các tài khoản doanh nghiệp trên Facebook”, nhà nghiên cứu Sudeep Singh và Naveen Selvan của Zscaler ThreatLabz lưu ý trong một phân tích song song, cho biết các tài khoản này được bán với giá từ 15 đến 340 USD.
“Các 'sản phẩm' của hoạt động này (tức là các tài khoản mạng xã hội bị tấn công) cung cấp cho nền kinh tế ngầm các tài khoản mạng xã hội bị đánh cắp, nơi nhiều nhà cung cấp cung cấp các tài khoản được định giá tùy theo tính hữu ích được cho là của chúng đối với hoạt động độc hại."
Một số chuỗi lây nhiễm được quan sát từ tháng 2 đến tháng 3 năm 2023 có liên quan đến việc sử dụng lối tắt và tệp PowerShell để tải xuống và khởi chạy phần mềm độc hại cuối cùng, minh họa cho sự phát triển liên tục trong chiến thuật của những kẻ tấn công.
Thử nghiệm cũng mở rộng cho kẻ đánh cắp, đã được cập nhật để thu thập thông tin cá nhân của người dùng từ X (trước đây là Twitter), TikTok Business và Google Ads, cũng như tận dụng cookie phiên Facebook bị đánh cắp để tạo quảng cáo lừa đảo theo cách tự động và có được đặc quyền nâng cao để thực hiện các hành động khác.
Phương pháp chính được sử dụng để chiếm đoạt tài khoản bị xâm nhập của nạn nhân là thêm địa chỉ email của chính họ vào tài khoản đó, sau đó thay đổi mật khẩu và địa chỉ email của tài khoản Facebook của nạn nhân để khóa họ khỏi dịch vụ.
Chuyên gia bảo mật cho biết: “Một tính năng mới khác được quan sát thấy trong các mẫu Ducktail kể từ (ít nhất) tháng 7 năm 2023 là sử dụng Khởi động lại (RM) để tiêu diệt các tiến trình khóa cơ sở dữ liệu trình duyệt”. “Khả năng này thường được tìm thấy trong ransomware vì các tệp đang được các tiến trình hoặc dịch vụ sử dụng không thể được mã hóa.”
Hơn nữa, tải trọng cuối cùng bị che khuất bằng cách sử dụng một trình tải để giải mã và thực thi nó một cách linh hoạt trong thời gian chạy, được coi là nỗ lực kết hợp các kỹ thuật nhằm tăng độ phức tạp của phân tích và khả năng trốn tránh phát hiện.
Một số phương pháp khác được tác nhân đe dọa áp dụng để cản trở quá trình phân tích bao gồm việc sử dụng tên tập hợp được tạo duy nhất và sự phụ thuộc vào SmartAssembly, tăng cường và nén để làm xáo trộn phần mềm độc hại.
Zscaler cho biết họ đã phát hiện ra các trường hợp nhóm bắt đầu liên hệ thông qua các tài khoản LinkedIn bị xâm nhập thuộc về những người dùng làm việc trong lĩnh vực tiếp thị kỹ thuật số, một số người trong số họ có hơn 500 kết nối và 1.000 người theo dõi.
Các nhà nghiên cứu cho biết: “Số lượng kết nối/người theo dõi cao đã giúp tăng tính xác thực cho các tài khoản bị xâm nhập và tạo điều kiện thuận lợi cho quá trình lừa đảo xã hội của các tác nhân đe dọa”.
Điều này cũng nêu bật sự lan truyền giống như sâu của Ducktail, trong đó thông tin đăng nhập LinkedIn và cookie bị đánh cắp từ người dùng trở thành nạn nhân của cuộc tấn công bằng phần mềm độc hại sẽ được sử dụng để đăng nhập vào tài khoản của họ và liên hệ với các mục tiêu khác cũng như mở rộng phạm vi tiếp cận của họ.
Ducktail được cho là một trong nhiều kẻ đe dọa người Việt đang tận dụng các công cụ và chiến thuật dùng chung để thực hiện các âm mưu lừa đảo như vậy. Điều này cũng bao gồm một bản sao Ducktail có tên là Duckport, đã hoạt động từ cuối tháng 3 năm 2023 và thực hiện hành vi đánh cắp thông tin cùng với việc chiếm đoạt tài khoản Meta Business.
Cần chỉ ra rằng chiến dịch mà Zscaler đang theo dõi với tên Ducktail trên thực tế là Duckport, theo Chuyên gia bảo mật, là một mối đe dọa riêng do sự khác biệt trong các kênh Telegram được sử dụng cho C2, việc triển khai mã nguồn và thực tế là cả hai các chủng chưa bao giờ được phân phối cùng nhau.
Chuyên gia bảo mật cho biết: “Mặc dù Ducktail đã bắt đầu sử dụng các trang web có thương hiệu giả mạo như một phần trong nỗ lực kỹ thuật xã hội của họ, nhưng đó vẫn là một kỹ thuật phổ biến đối với Duckport”.
“Thay vì cung cấp liên kết tải xuống trực tiếp tới các dịch vụ lưu trữ tệp như Dropbox (có thể gây nghi ngờ), Duckport gửi liên kết của nạn nhân đến các trang web có thương hiệu có liên quan đến thương hiệu/công ty mà họ đang mạo danh, sau đó chuyển hướng họ tải xuống kho lưu trữ độc hại. từ các dịch vụ lưu trữ tập tin (chẳng hạn như Dropbox)."
Duckport, mặc dù dựa trên Ducktail, cũng đi kèm với các tính năng mới mở rộng khả năng đánh cắp thông tin và chiếm đoạt tài khoản, đồng thời chụp ảnh màn hình hoặc lạm dụng các dịch vụ ghi chú trực tuyến như một phần của chuỗi C2, về cơ bản thay thế Telegram như một kênh để truyền lệnh vào máy của nạn nhân.
“Yếu tố lấy Việt Nam làm trung tâm của các mối đe dọa này và mức độ chồng chéo cao về năng lực, cơ sở hạ tầng và nạn nhân cho thấy mối quan hệ làm việc tích cực giữa các tác nhân đe dọa khác nhau, công cụ dùng chung và TTP giữa các nhóm mối đe dọa này hoặc tội phạm mạng Việt Nam có định hướng dịch vụ và rạn nứt”. hệ sinh thái (tương tự như mô hình ransomware-as-a-service) tập trung vào các nền tảng truyền thông xã hội như Facebook,” Chuyên gia bảo mật cho biết.
Hương – Theo TheHackerNews
TIN CÙNG CHUYÊN MỤC
1 tiện ích Chrome nhiễm mã độc có 280 tr...
Không đảm bảo về bảo mật và kiểm duyệt, ...
Ứng dụng AI - DeepSeek bị hack và rò rỉ ...
Router Wi-Fi hiệu TP-Link có thể bị Mỹ c...
Tính năng tìm kiếm mới trên Windows 11 g...
Lừa đảo quảng cáo độc hại sử dụng Quảng ...
-
Khai Xuân Phú Quý, Bóc Lì Xì Vui
-
Không đảm bảo về bảo mật và kiểm duyệt, sao chatbo...
-
Có nên cài đặt chế độ nền tối Dark Mode cho điện t...
-
Hướng dẫn cách dùng DeepSeek dễ dàng với 3 bước
-
Thông báo thời gian nghỉ lễ Tết Nguyên Đán Ất Tỵ 2...
-
1 tiện ích Chrome nhiễm mã độc có 280 triệu lượt t...
-
1 tiện ích Chrome nhiễm mã độc có 280 triệu lượt t...
-
Không đảm bảo về bảo mật và kiểm duyệt, sao chatbo...
-
Khai Xuân Phú Quý, Bóc Lì Xì Vui
-
Có nên cài đặt chế độ nền tối Dark Mode cho điện t...
-
Ứng dụng AI - DeepSeek bị hack và rò rỉ dữ liệu ng...
-
Router Wi-Fi hiệu TP-Link có thể bị Mỹ cấm cửa vì ...
LIÊN HỆ
