Các tin tặc đang sử dụng các trang thương mại và quảng cáo trên Facebook để phát tán những chủ đề Windows giả mạo, với mục đích lừa đảo người dùng tải xuống phần mềm độc hại nhằm đánh cắp mật khẩu SYS01.
Các nhà nghiên cứu tại Trustwave đã phát hiện ra rằng những chiến dịch độc hại đang lan truyền, trong đó các tác nhân đe dọa cũng phát tán các bản tải xuống giả mạo cho các trò chơi và phần mềm vi phạm bản quyền, bao gồm Sora AI, công cụ tạo hình ảnh 3D và One Click Active.
Mặc dù việc sử dụng quảng cáo trên Facebook để phân phối phần mềm độc hại không phải là một phương pháp mới mẻ, nhưng với quy mô lớn mà nền tảng mạng xã hội này cung cấp, các chiến dịch này trở thành một mối nguy hiểm đáng kể.
Tin tặc đang lợi dụng các trang kinh doanh và quảng cáo trên Facebook để tung ra mã độc.
Các tác nhân này đang phát tán quảng cáo liên quan đến Windows, tải xuống trò chơi miễn phí và các phiên bản crack cho các ứng dụng phổ biến như Photoshop, Microsoft Office và Windows.
Những quảng cáo độc hại này thường được phát động qua các trang kinh doanh mới tạo ra trên Facebook hoặc thông qua các trang bị xâm phạm. Kẻ tấn công sẽ thay đổi tên các trang Facebook đã bị xâm phạm sao cho phù hợp với nội dung quảng cáo nhằm thu hút người dùng tải xuống.
Báo cáo từ Trustwave cho biết: “Tin tặc đã làm giả danh tính doanh nghiệp bằng cách đổi tên các trang Facebook, từ đó họ có thể tận dụng cơ sở người theo dõi hiện có để mở rộng đáng kể tầm với của quảng cáo lừa đảo”.
Tội phạm mạng thực hiện hàng nghìn quảng cáo cho mỗi chiến dịch, với những chiến dịch tiêu biểu mang tên blue-softs (8.100 quảng cáo), xtaskbar-themes (4.300 quảng cáo), newtaskbar-themes (2.200 quảng cáo) và awesome-themes-desktop (1.100 quảng cáo).
Khi người dùng Facebook nhấp vào các quảng cáo, họ sẽ được chuyển hướng tới những trang giả mạo lưu trữ trên Google Sites hoặc True Hosting, được trình bày như là các trang tải xuống phần mềm đã quảng cáo.
Các trang True Hosting chủ yếu được sử dụng để quảng bá một trang có tên Blue-Software, nơi cung cấp các bản tải xuống trò chơi và phần mềm được giới thiệu là miễn phí.
Việc nhấp vào nút ‘Download’ sẽ dẫn đến tải xuống một tệp ZIP được đặt tên theo sản phẩm mà người dùng quan tâm. Ví dụ, khi tải về theme Windows, người dùng sẽ nhận được một tệp nén có tên ‘Awesome_Themes_for_Win_10_11.zip’, và đối với Photoshop sẽ là ‘Adobe_Photoshop_2023.zip’.
Khi những người tải xuống tưởng rằng họ đang nhận được một ứng dụng, trò chơi hoặc theme Windows miễn phí, trên thực tế tệp ZIP này lại chứa mã độc nhằm đánh cắp thông tin SYS01.
Mã độc này lần đầu tiên được Morphisec phát hiện vào năm 2022, nó sử dụng một loạt các tệp thực thi, DLL, tập lệnh PowerShell và PHP để cài đặt phần mềm độc hại và lấy cắp dữ liệu từ thiết bị bị nhiễm.
Khi tệp thực thi chính trong tệp ZIP được khởi chạy, nó áp dụng kỹ thuật DLL sideloading để tải xuống một DLL độc hại, bắt đầu quá trình thiết lập môi trường làm việc cho mã độc, bao gồm cả việc chạy các script PowerShell nhằm ngăn mã độc hoạt động trong môi trường ảo hóa để tránh bị phát hiện, thêm các thư mục ngoại lệ trong Windows Defender và cấu hình một môi trường PHP để tải xuống các script PHP độc hại.
SYS01 chủ yếu chứa các tập lệnh PHP tạo ra các tác vụ định kỳ nhằm duy trì hoạt động và đánh cắp dữ liệu từ thiết bị. Các dữ liệu bị đánh cắp bao gồm cookie trình duyệt, thông tin xác thực lưu trữ trong trình duyệt, lịch sử duyệt web và thông tin liên quan đến ví điện tử.
Phần mềm độc hại này sử dụng cookie Facebook có trên thiết bị để đánh cắp thông tin tài khoản từ nền tảng mạng xã hội, bao gồm:
- Trích xuất thông tin cá nhân như họ tên, email và ngày sinh.
- Lấy thông tin chi tiết về tài khoản quảng cáo, bao gồm chi phí và phương thức thanh toán.
- Dữ liệu liên quan đến doanh nghiệp, tài khoản quảng cáo và người dùng doanh nghiệp, cho thấy sự chú ý đến thông tin tài chính nhạy cảm và thương mại.
- Thông tin chi tiết về các trang Facebook do người dùng quản lý.
Dữ liệu bị đánh cắp sẽ được lưu tạm thời trong thư mục %Temp% trước khi được chuyển cho kẻ tấn công.
Cookie và mật khẩu bị đánh cắp sau đó có thể được bán cho các kẻ tấn công khác hoặc được sử dụng để xâm nhập vào các tài khoản khác của nạn nhân, dữ liệu từ Facebook có thể được sử dụng để chiếm đoạt các tài khoản khác cho các chiến dịch quảng cáo độc hại tiếp theo.
Trustwave cũng cho biết rằng hoạt động quảng cáo độc hại này không chỉ diễn ra trên Facebook, mà còn xuất hiện trên LinkedIn và YouTube.
Trustwave cảnh báo rằng: “Chiến dịch quảng cáo độc hại SYS01 đang diễn ra gây ra mối đe dọa cho nhiều đối tượng hơn và thể hiện tầm quan trọng của việc nhận thức về những hành động mà người dùng thực hiện trên nền tảng mạng xã hội”.
Để giảm thiểu khả năng trở thành nạn nhân của các chiến dịch độc hại như vậy, người dùng cần luôn cảnh giác với các quảng cáo về phần mềm/ứng dụng miễn phí, phần mềm crack; chỉ nên tải xuống và cài đặt phần mềm từ các nguồn đáng tin cậy như cửa hàng ứng dụng hoặc trang web chính thức.