Một chiến dịch tấn công mạng mới và tinh vi đang nhắm mục tiêu vào các tài khoản Facebook của những nhà sáng tạo nội dung và doanh nghiệp nhỏ. Chiến dịch này sử dụng các quảng cáo lừa đảo, hứa hẹn cung cấp huy hiệu xác minh Meta miễn phí, nhằm mục đích đánh cắp dữ liệu thông tin đăng nhập và chiếm quyền kiểm soát tài khoản kinh doanh Facebook.
Bản chất của Chiến dịch Malvertising nhắm vào Facebook
Chiến dịch malvertising này lôi kéo người dùng Facebook bằng các quảng cáo độc hại. Chúng hứa hẹn mở khóa tích xanh xác minh danh giá của Meta thông qua một tiện ích mở rộng trình duyệt có vẻ hợp pháp.
Các quảng cáo được đính kèm video hướng dẫn, được thiết kế để lừa người dùng tải xuống mã độc. Mã độc này sau đó sẽ đánh cắp thông tin đăng nhập tài khoản của họ và chiếm quyền kiểm soát các tài khoản Facebook Business.
Các nhà nghiên cứu bảo mật đã xác định ít nhất 37 quảng cáo độc hại khác nhau quảng bá công cụ xác minh giả mạo này. Tất cả đều xuất phát từ cùng một tài khoản Facebook duy nhất. Bitdefender đã cung cấp chi tiết về những phát hiện này.
Chiến dịch có những đặc điểm rõ ràng của các tác nhân đe dọa nói tiếng Việt. Điều này được thể hiện qua các đoạn tường thuật trong video và cả những bình luận trong mã nguồn được viết bằng tiếng Việt.
Mã độc bao gồm các hướng dẫn tùy chỉnh các biến số như kích thước và vị trí của huy hiệu xác minh giả. Điều này cho thấy ý định của kẻ tấn công nhằm tạo ra một ảo ảnh chức năng cực kỳ thuyết phục để thực hiện các cuộc tấn công mạng hiệu quả.
Bản thân tiện ích mở rộng trình duyệt độc hại dường như chứa mã được tạo bởi AI. Mã này bị che giấu kém nhưng vẫn hiệu quả trong việc đạt được các mục tiêu phạm tội của chúng.
Mặc dù cấu trúc sơ sài, mã độc vẫn thành công trong mục tiêu chính là đánh cắp dữ liệu. Các bình luận nội tuyến trong mã làm nổi bật “các phần có thể điều chỉnh” cho các giá trị tùy chỉnh. Điều này cho phép kẻ tấn công nhanh chóng sửa đổi và triển khai lại các biến thể mới trên các chiến dịch khác nhau.
Kỹ thuật Phân phối và Lây nhiễm trong Mối Đe Dọa Mạng
Cơ chế phân phối bổ sung thêm một lớp tinh vi cho hoạt động này. Kẻ tấn công lưu trữ mã độc của chúng trên Box.com, một dịch vụ quản lý nội dung đám mây hợp pháp. Điều này giúp chúng né tránh bị phát hiện trong khi tự động tạo hàng loạt liên kết tải xuống.
Phương pháp này cho phép chúng tự động nhúng các liên kết độc hại vào các video hướng dẫn và liên tục làm mới các chiến dịch của mình. Đây là một cách tiếp cận công nghiệp hóa đối với tội phạm mạng, như được mô tả trong nhiều báo cáo về các nền tảng cybercrime khác. GBHackers đã thảo luận về cách các nền tảng tội phạm mạng hoạt động.
Cơ chế hoạt động của mã độc
Khi được cài đặt, tiện ích mở rộng độc hại ngay lập tức bắt đầu thu thập cookie phiên Facebook. Sau đó, chúng truyền tải các cookie này đến các bot Telegram do kẻ tấn công kiểm soát.
Mã độc cũng thu thập địa chỉ IP của nạn nhân thông qua các dịch vụ bên ngoài. Mục đích là để xây dựng hồ sơ toàn diện về các tài khoản đã bị xâm phạm.
Các biến thể nâng cao hơn của mã độc này tương tác trực tiếp với Facebook Graph API. Chúng sử dụng các mã thông báo truy cập bị đánh cắp, đặc biệt nhắm mục tiêu vào các tài khoản Facebook Business. Điều này cho thấy sự tập trung vào các mục tiêu có giá trị cao.
Hậu quả và Tác động của việc Rò Rữi Dữ Liệu Nhạy Cảm
Các tài khoản kinh doanh là mục tiêu có giá trị đáng kể hơn nhiều so với hồ sơ người dùng thông thường. Điều này là do bản chất thương mại và các đặc quyền quản trị của chúng.
Khi được xác định và chiếm đoạt, các tài khoản này sẽ được đóng gói và bán thông qua các kênh Telegram ngầm. Tại đây, thông tin đăng nhập bị đánh cắp được giao dịch như một loại hàng hóa. GBHackers cũng đã đưa tin về việc các tin tặc chiếm đoạt tài khoản Telegram để phục vụ các mục đích phi pháp.
Các tài khoản kinh doanh bị đánh cắp phục vụ mục đích kép trong hệ sinh thái của kẻ tấn công. Ngoài lợi ích tài chính trực tiếp từ việc bán hàng, các tài khoản bị chiếm đoạt có thể được sử dụng lại. Chúng được dùng để quảng bá thêm các quảng cáo độc hại, tạo ra một chu trình tự duy trì của tội phạm mạng.
Điều này tạo ra một vòng lặp phản hồi, nơi các tài khoản bị xâm phạm tài trợ và tạo điều kiện cho các làn sóng chiến dịch malvertising mới. Chúng tiếp tục nhắm mục tiêu vào các nạn nhân mới, mở rộng phạm vi của các cuộc tấn công mạng.
Tại sao chiến dịch tấn công mạng này lại hiệu quả?
Thành công của chiến dịch bắt nguồn từ việc khai thác mong muốn của người dùng đối với huy hiệu xác minh màu xanh của Meta. Huy hiệu này báo hiệu tính xác thực, tăng khả năng hiển thị nội dung và cung cấp sự bảo vệ chống mạo danh.
Vì Meta hiện yêu cầu đăng ký trả phí cho việc xác minh chính thức, những kẻ lừa đảo đã tận dụng điều này. Chúng nhắm vào những người dùng đang tìm kiếm các giải pháp thay thế miễn phí bằng cách cung cấp các công cụ gian lận hứa hẹn những lợi ích tương tự.
Việc trình bày các vụ lừa đảo này thông qua các video hướng dẫn trông chuyên nghiệp được nhúng trong quảng cáo Facebook khiến chúng đặc biệt thuyết phục. Sự kết hợp giữa hướng dẫn trực quan và vẻ ngoài hợp pháp giúp giảm bớt sự hoài nghi tự nhiên của người dùng. Điều này làm cho nạn nhân dễ dàng cài đặt phần mềm độc hại vào thiết bị của họ mà không hề hay biết, dẫn đến các cuộc tấn công mạng thành công hơn.
Các biện pháp phòng ngừa để tăng cường bảo mật mạng
Người dùng có thể tự bảo vệ mình bằng cách luôn hoài nghi về các quảng cáo cung cấp công cụ xác minh hoặc các tính năng đặc biệt của Facebook. Meta không phân phối huy hiệu xác minh thông qua tiện ích mở rộng trình duyệt. Meta đã thực hiện các biện pháp để loại bỏ các tài khoản giả mạo.
Tất cả các phần mềm tải xuống nên đến từ các nguồn chính thức. Ví dụ như Cửa hàng Chrome trực tuyến hoặc thị trường Tiện ích bổ sung Firefox, chứ không phải thông qua các liên kết quảng cáo.
Các biện pháp bảo mật tài khoản bao gồm sử dụng mật khẩu mạnh, duy nhất và xác thực đa yếu tố (MFA). Đây là những lớp bảo vệ bổ sung chống lại hành vi đánh cắp dữ liệu thông tin đăng nhập.
Các công cụ bảo mật chuyên dụng có thể phân tích các liên kết đáng ngờ và giám sát các dấu hiệu tài khoản bị xâm phạm hoặc rò rỉ dữ liệu nhạy cảm.
Đối với các nhà sáng tạo nội dung và doanh nghiệp nhỏ, những người phụ thuộc nhiều vào sự hiện diện trên mạng xã hội, việc mất quyền kiểm soát tài khoản Facebook có thể gây ra thiệt hại đáng kể về tài chính và danh tiếng.
Bản chất nhắm mục tiêu của các cuộc tấn công mạng này vào các tài khoản kinh doanh làm cho việc bảo vệ an ninh mạng chuyên nghiệp trở nên đặc biệt quan trọng. Điều này áp dụng cho các hoạt động truyền thông xã hội thương mại, nơi nguy cơ đánh cắp dữ liệu là rất cao.
Chiến dịch malvertising này đại diện cho sự phát triển liên tục của tội phạm mạng dựa trên mạng xã hội. Đây là một hình thức tấn công mạng tinh vi, nơi kẻ tấn công tận dụng các nền tảng hợp pháp và tâm lý người dùng để phân phối mã độc và đánh cắp thông tin đăng nhập tài khoản có giá trị để kiếm lợi.
