Một người nổi tiếng của Việt Nam đã bị cho là đứng sau chiến dịch "malverposting" trên các nền tảng mạng xã hội, để lây nhiễm cho hơn 500.000 thiết bị trên toàn thế giới trong ba tháng qua, nhằm cung cấp các biến thể của phần mềm đánh cắp thông tin như S1deload Stealer và SYS01stealer.

Ngày đăng: Th05 03, 2023 - 693 Lượt xem

"Malverposting" là gì?

"Malverposting" là việc sử dụng các bài đăng trên mạng xã hội, được quảng cáo trên các dịch vụ như Facebook và Twitter, để lây nhiễm hàng loạt phần mềm độc hại và các mối đe dọa bảo mật khác. Ý tưởng là tiếp cận nhiều người dùng hơn bằng cách trả tiền cho quảng cáo, để "khuếch đại" bài đăng của họ.

Cách thức triển khai chiến dịch đánh cắp dữ liệu bằng “Malverposting”

Theo Guardio Labs, các cuộc tấn công bắt đầu bằng việc hackers tạo hồ sơ doanh nghiệp mới, chiếm quyền điều khiển các tài khoản người nổi tiếng, để phân phát quảng cáo cung cấp các link tải xuống album ảnh người lớn miễn phí.

Trong các tệp lưu trữ ZIP này có các hình ảnh giả mạo các tệp thực thi, khi người dùng nhấp vào, các tệp này sẽ kích hoạt chuỗi lây nhiễm, sau đó triển khai phần mềm độc hại dùng để thu thập các phiên cookie, dữ liệu tài khoản và thông tin khác của người dùng.

Chuỗi tấn công có hiệu quả cao vì nó tạo ra một "vòng luẩn quẩn" trong đó các tài khoản bị tấn công sau khi đã bị thu thập các thông tin cần thiết, sẽ được sử dụng để chạy các bài post quảng cáo, gây lây nhiễm theo cấp số nhân để mở rộng chiến dịch tấn công.

Để vượt qua các quy trình kiểm duyệt của Facebook, hackers đã sử dụng các trang hồ sơ doanh nghiệp mới, được tạo dưới dạng tài khoản nhiếp ảnh gia. Phần lớn các trường hợp bị tấn công đã báo cáo ở thị trường Úc, Canada, Ấn Độ, Vương quốc Anh và Hoa Kỳ.

Phần lớn các trường hợp bị tấn công đã báo cáo ở thị trường Úc, Canada, Ấn Độ, Vương quốc Anh và Hoa Kỳ

Phương pháp mà "Malverposting" sử dụng thường xuyên

Phương pháp mà hackers sử dụng dựa trên mã nguồn PHP, được cho là không ngừng phát triển, kết hợp nhiều tính năng để tránh bị phát hiện, các tác nhân gây hại đằng sau các chiến dịch được thực hiện, đang tích cực tinh chỉnh và trang bị thêm các chiến thuật mới, để đối phó với các báo cáo đã được công khai.

Nhà nghiên cứu bảo mật Nati Tal của Guardio Labs cho biết: “Các mã độc khá tinh vi và luôn thay đổi, thể hiện các kỹ thuật lẩn tránh mới”.

Phát hiện này được đưa ra khi Group-IB tiết lộ chi tiết về hoạt động lừa đảo đang diễn ra nhằm vào người dùng Facebook. Bằng cách lừa họ nhập thông tin đăng nhập trên các trang web giả mạo, được thiết kế để đánh cắp thông tin đăng nhập tài khoản của họ và chiếm quyền tài khoản.

Nhà nghiên cứu bảo mật Nati Tal của Guardio Labs cho biết: “Các mã độc khá tinh vi và luôn thay đổi, thể hiện các kỹ thuật lẩn tránh mới”.

Trong một diễn biến có liên quan, Malwarebytes đã phát hiện ra một chiến dịch quảng cáo độc hại nhằm lừa người dùng đang tìm kiếm trò chơi và công thức nấu ăn trên Google, để phân phối quảng cáo độc hại chuyển hướng họ đến các trang web giả mạo, được tạo trên Weebly với mục tiêu thực hiện lừa đảo hỗ trợ kỹ thuật.

Nguồn: https://thehackernews.com/2023/05/vietnamese-threat-actor-infects-500000.html | Biên dịch: Đăng Hồ