Tội phạm mạng đang khai thác các nền tảng video ngắn như TikTok và Instagram Reels như một bề mặt tấn công mới, sử dụng các video hướng dẫn phần mềm giả mạo để phát tán mã độc tới người dùng. Tình hình này đặt ra những mối đe dọa mạng mới cần được cộng đồng an ninh mạng quan tâm và có biện pháp phòng ngừa kịp thời.
Chiến Thuật Phân Phát Mã Độc Qua Video Ngắn
Các chiến dịch này sử dụng một phương pháp đơn giản nhưng hiệu quả cao: tạo ra các video hướng dẫn được đầu tư kỹ lưỡng, hứa hẹn cung cấp quyền truy cập miễn phí vào các phần mềm cao cấp. Sau đó, người xem được hướng dẫn đến các liên kết tải xuống độc hại.
Sự hiệu quả của kỹ thuật này nằm ở khả năng hòa lẫn vào môi trường mạng xã hội. Các video này trông không khác biệt so với hàng triệu nội dung mẹo công nghệ và hướng dẫn khác xuất hiện hàng ngày.
Với hàng nghìn lượt xem và hàng trăm lượt thích, người dùng ít có lý do để nghi ngờ tính xác thực của nội dung. Chính niềm tin sai lầm này là yếu tố mà kẻ tấn công khai thác.
Hai Phương Pháp Tấn Công Chính
Các nhà phân tích tại ReversingLabs đã xác định và phân tích hai phương pháp chiến dịch riêng biệt được sử dụng trong mối đe dọa này. Cả hai đều đạt được lượng tiếp cận lớn bằng cách lợi dụng các thuật toán đề xuất của mạng xã hội.
Nghiên cứu được dẫn dắt bởi chuyên gia tình báo mối đe dọa Zaria Vuksan, ghi nhận cách kẻ tấn công khai thác khéo léo các cơ chế tương tác của nền tảng để phát tán mã độc trên quy mô lớn qua nhiều kênh.
Cả hai chiến dịch đều có chung mục tiêu cuối cùng: dẫn người dùng đến một trang web của bên thứ ba lưu trữ phần mềm độc hại, ngụy trang dưới dạng ứng dụng cao cấp miễn phí. Điểm khác biệt nằm ở cách mỗi chiến dịch xây dựng lòng tin trước khi phân phối tải trọng độc hại.
Chiến Dịch 1: Giả Mạo Tài Khoản Chính Thức
Chiến dịch đầu tiên sử dụng các tài khoản với tên người dùng như “windows.tips” hoặc “windows.insights”, đi kèm với hình ảnh hồ sơ màu xanh trắng được thiết kế để mô phỏng chặt chẽ biểu tượng mạng xã hội chính thức của Windows.
Các tài khoản này đăng tải các video hướng dẫn chuyên nghiệp với giọng đọc do AI tạo ra. Video hướng dẫn người dùng nhập một lệnh PowerShell cụ thể, được quảng cáo là có thể mở khóa Spotify Premium miễn phí.
Lệnh này thực chất chỉ thị cho Windows âm thầm tải xuống và chạy một script từ một địa chỉ từ xa. Khi người dùng làm theo các bước mà không nghi ngờ, họ đã vô tình thực thi một tệp được xác định là Vidarstealer.
Điều làm cho phương pháp này trở nên đặc biệt nguy hiểm là vẻ ngoài sạch sẽ và có thẩm quyền của các video, với nhiều video đạt trên 100.000 lượt xem cùng hàng nghìn lượt lưu và chia sẻ.
Chiến Dịch 2: Tiếp Cận Thân Thiện Hơn
Chiến dịch thứ hai áp dụng cách tiếp cận thận trọng hơn để lôi kéo nạn nhân. Các tài khoản này đăng tải các đoạn clip ngắn, mô tả chung chung về các tính năng cao cấp của Spotify, đồng thời phát nhạc thịnh hành và khuyến khích người xem bình luận vì tò mò.
Khi mức độ tương tác tăng lên, kẻ tấn công sẽ trả lời bằng hướng dẫn truy cập các trang web độc hại như pluginchad[.]xyz hoặc d4ug[.]site. Các trang này cung cấp các bản tải xuống phần mềm giả mạo được che giấu sau các bức tường khảo sát.
Phân Tích Mã Độc Vidarstealer
Mã độc được phân phối qua các video này là Vidarstealer, một công cụ đánh cắp thông tin (infostealer) được cung cấp dưới dạng dịch vụ. Nó có khả năng đánh cắp thông tin đăng nhập, dữ liệu tài chính và token phiên từ các thiết bị bị nhiễm.
Vidarstealer đã nhận được một bản cập nhật vào tháng 10 năm ngoái, làm cho nó trở nên khó phát hiện và né tránh hơn. Với mức giá khoảng 300 USD cho giấy phép trọn đời, nó vẫn là công cụ ưa thích của các tác nhân đe dọa trong nhiều chiến dịch.
Thách Thức Trong Việc Ngăn Chặn
Sự kết hợp giữa khả năng tiếp cận rộng rãi trên mạng xã hội và các công cụ mã độc dễ dàng truy cập tạo ra một môi trường rủi ro bảo mật thực sự nguy hiểm cho người dùng cá nhân và tổ chức.
Các nền tảng mạng xã hội dường như không được trang bị đầy đủ để ngăn chặn loại hình tấn công này. Các nhà nghiên cứu tại ReversingLabs đã cố gắng báo cáo các tài khoản Instagram độc hại dưới dạng lừa đảo, nhưng mọi báo cáo đều bị từ chối.
Ngay cả khi nội dung bị gắn cờ, các nền tảng phản ứng chậm chạp. Đến khi một tài khoản bị gỡ bỏ, thiệt hại đã xảy ra.
Kẻ tấn công cũng dễ dàng xóa bỏ các cảnh báo từ cộng đồng. Nếu một người dùng để lại bình luận cảnh báo người khác về vụ lừa đảo, kẻ tấn công sẽ xóa nó ngay lập tức và chặn người dùng đó.
Tình hình này khiến việc tự kiểm duyệt của cộng đồng trở nên gần như không thể, đặt gánh nặng phòng thủ hoàn toàn lên vai các tổ chức và người dùng cá nhân.
Các Chỉ Số Báo Hiệu Xâm Nhập (IoCs)
Lưu ý: Địa chỉ IP và tên miền được cố tình làm “defanged” (ví dụ: [.] ) để ngăn chặn việc phân giải hoặc liên kết tự động. Chỉ “re-fang” trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
- Domains: pluginchad[.]xyz, d4ug[.]site
- Malware Name: Vidarstealer
Các Biện Pháp Phòng Ngừa
Các biện pháp phòng ngừa thực tế tồn tại và cần được hành động ngay lập tức. Các tổ chức nên thường xuyên kiểm tra những người nắm giữ quyền cài đặt trên thiết bị công việc, vì một số phần mềm được quảng bá trong các video này được đóng khung như các công cụ chuyên nghiệp hữu ích.
Các chương trình đào tạo về nhận thức an ninh mạng (phishing) cần được cập nhật và bao gồm rõ ràng mạng xã hội như một vectơ tấn công, chứ không chỉ email. Người dùng nên báo cáo nhất quán các tài khoản đáng ngờ, vì khối lượng báo cáo cao hơn sẽ làm tăng khả năng bị gỡ bỏ và có thể làm chậm đà tấn công của kẻ xấu.
Việc tăng cường an ninh mạng và nâng cao nhận thức người dùng là yếu tố then chốt để chống lại các chiến thuật tấn công ngày càng tinh vi này. Cần có các biện pháp cập nhật bản vá và cấu hình bảo mật phù hợp để giảm thiểu tối đa rủi ro.
Nguồn tham khảo: ReversingLabs
