Các nền tảng mạng xã hội phổ biến đang bị tin tặc biến thành kênh phân phối mã độc, sử dụng chiêu trò phần mềm miễn phí để bẫy người dùng cả tin. Các nền tảng video ngắn như TikTok và Instagram Reels đã trở thành công cụ mới trong bộ công cụ của tội phạm mạng, với các video hướng dẫn được đầu tư kỹ lưỡng, hứa hẹn Spotify Premium miễn phí, kích hoạt Windows miễn phí hoặc Microsoft Office miễn phí.
Mối Đe Dọa Mới Từ Các Nền Tảng Mạng Xã Hội
Thay vì nhận được các ưu đãi miễn phí mà họ mong đợi, người xem lại bị cài đặt một công cụ đánh cắp thông tin (infostealer) nguy hiểm âm thầm hoạt động trên thiết bị Windows của họ. Sự thay đổi này đánh dấu một bước tiến hóa rõ rệt trong cách thức các đối tượng tấn công tiếp cận mục tiêu.
Chiến Lược Lợi Dụng Video Ngắn
Các chiến dịch này sử dụng các video được đầu tư kỹ lưỡng, trông giống như nội dung hỗ trợ kỹ thuật chính thống, với các yếu tố đồ họa theo phong cách Windows và chỉnh sửa chuyên nghiệp. Các tài khoản như “windows.tips” hoặc “windows.insights” đăng tải những video này.
Các video này được gắn thẻ với các từ khóa liên quan đến Windows và Office, giúp chúng xuất hiện cạnh các video khắc phục sự cố hợp pháp trong kết quả tìm kiếm và nguồn cấp dữ liệu đề xuất. Người xem được hướng dẫn từng bước, bao gồm mở PowerShell – một công cụ quản trị hệ thống Windows hợp pháp – và dán một loạt các lệnh.
Video Minh Họa Kỹ Thuật Tấn Công
Các lệnh này sau đó âm thầm tải xuống và thực thi công cụ đánh cắp thông tin Vidar ở chế độ nền, mà người dùng không hề hay biết. Kỹ thuật này tương tự như các cuộc tấn công được gọi là ClickFix, nơi người dùng bị kỹ thuật xã hội lừa chạy mã độc, qua mặt hầu hết các biện pháp phòng thủ bảo mật truyền thống.
Các nhà nghiên cứu tại ReversingLabs đã phát hiện hai chiến dịch đang hoạt động sử dụng các video ngắn này để lừa người dùng chạy các lệnh PowerShell nguy hiểm hoặc truy cập các trang tải xuống độc hại. Các nhà phân tích tại Malwarebytes đã báo cáo rằng các chiến dịch tương tự đã được các nhà nghiên cứu khác và các cơ quan an ninh mạng quốc gia cảnh báo, cho thấy một xu hướng đang gia tăng.
Tội phạm mạng đang học cách khai thác các thuật toán mạng xã hội hiệu quả như các chuyên gia tiếp thị, khuếch đại phạm vi tiếp cận của các cuộc tấn công này với chi phí gần như bằng không.
Figure 1: Example of a fake Windows tutorial video used to deliver the Vidar infostealer (Image courtesy of ReversingLabs)
Vidar Infostealer – Công Cụ Đánh Cắp Dữ Liệu Nguy Hiểm
Mã độc trọng tâm của các chiến dịch này là Vidar, một công cụ đánh cắp thông tin (infostealer) nổi tiếng được thiết kế để âm thầm thu thập dữ liệu nhạy cảm từ các thiết bị bị nhiễm.
Sau khi xâm nhập vào một máy tính, Vidar bắt đầu thu thập mật khẩu đã lưu trong trình duyệt, dữ liệu tự động điền, cookie trình duyệt, thông tin ví tiền điện tử, dữ liệu xác thực hai yếu tố (2FA) và thậm chí cả dữ liệu của trình duyệt TOR.
Tất cả dữ liệu thu thập được sau đó được gửi về các máy chủ do kẻ tấn công kiểm soát, cung cấp cho chúng một chìa khóa chi tiết để truy cập vào toàn bộ cuộc sống số của nạn nhân.
Cơ Chế Vô Hiệu Hóa Phần Mềm Diệt Virus
Sau khi Vidar đã nằm trong hệ thống, nó không chỉ đơn thuần đánh cắp dữ liệu và rời đi. Nghiên cứu về các chuỗi tấn công tương tự trên TikTok cho thấy các tập lệnh độc hại thường thêm các loại trừ vào Windows Defender, khiến công cụ bảo mật tích hợp này bị mù đối với các mối đe dọa trong tương lai.
Điều này có nghĩa là ngay cả sau khi quá trình lây nhiễm ban đầu được khắc phục, thiết bị vẫn có thể tiếp tục bị phơi nhiễm với các cuộc tấn công tiếp theo. Thông tin bị đánh cắp đại diện cho một rủi ro nghiêm trọng vượt ra ngoài phạm vi một tài khoản hoặc một nền tảng duy nhất.
Tác Động Của Dữ Liệu Bị Đánh Cắp
Cookie trình duyệt có thể được sử dụng để chiếm quyền điều khiển các phiên đang hoạt động mà không cần mật khẩu. Dữ liệu ví tiền điện tử có thể dẫn đến tổn thất tài chính trực tiếp. Dữ liệu xác thực hai yếu tố rơi vào tay kẻ xấu có thể vô hiệu hóa ngay cả những tài khoản tưởng chừng như được bảo vệ an toàn.
Các chuyên gia bảo mật khuyến nghị người dùng chỉ nên tải xuống phần mềm từ các trang web chính thức của nhà cung cấp và tỏ thái độ nghi ngờ thực sự đối với bất kỳ phiên bản “miễn phí” hoặc “bẻ khóa” nào của sản phẩm trả phí.
Biện Pháp Phòng Ngừa Tấn Công Mạng
Người dùng nên tránh làm theo các hướng dẫn trên các trang web không quen thuộc, đặc biệt là những trang yêu cầu chạy lệnh hoặc dán mã, vì nhiều trang web này sử dụng bộ đếm thời gian hoặc bộ đếm người dùng giả để thúc đẩy người dùng hành động nhanh chóng.
Việc kiểm tra xem các tệp đã tải xuống có khớp với những gì mong đợi hay không, xác minh chữ ký số của tệp trước khi chạy và duy trì giải pháp chống mã độc thời gian thực là những bước thực tế có thể ngăn chặn một công cụ đánh cắp thông tin trước khi nó kịp hoạt động.
Theo dõi chúng tôi trên Google News, LinkedIn, và X để nhận các cập nhật tức thì, đặt CSN làm Nguồn Ưu Tiên trên Google.
Cyber Security News là Nền tảng Tin tức Chuyên biệt về Tin tức An ninh mạng, Tin tức Tấn công Mạng, Tin tức Tin tặc & Phân tích Lỗ hổng.
