Các nhà nghiên cứu an ninh mạng vừa phát hiện một chiến dịch malvertising lợi dụng nền tảng quảng cáo của Meta để chiếm đoạt tài khoản Facebook nhằm phát tán phần mềm độc hại có tên SYS01stealer. 

Chiến dịch này sử dụng gần 100 tên miền độc hại để không chỉ phân phối phần mềm mà còn thực hiện các hoạt động kiểm soát tấn công theo thời gian thực. SYS01stealer, lần đầu tiên được ghi nhận vào đầu năm 2023, chủ yếu nhắm vào các tài khoản doanh nghiệp trên Facebook thông qua các quảng cáo của Google và các hồ sơ Facebook giả mạo nhằm lan truyền các nội dung giả mạo như trò chơi, nội dung người lớn và phần mềm bị bẻ khóa.

Mục tiêu chính của phần mềm độc hại này là đánh cắp thông tin đăng nhập, lịch sử duyệt web và dữ liệu tài khoản doanh nghiệp quảng cáo của Facebook. Các quảng cáo độc hại chủ yếu nhắm đến nam giới từ 45 tuổi trở lên, được phân phối thông qua quảng cáo độc hại trên các nền tảng như Facebook, YouTube và LinkedIn, sử dụng các chủ đề như Windows theme, trò chơi, phần mềm AI, chỉnh sửa ảnh và dịch vụ trực tuyến.

Khi người dùng tương tác với quảng cáo, họ sẽ bị chuyển hướng đến các trang lừa đảo giả mạo thương hiệu uy tín, nơi họ tải về tệp ZIP chứa mã độc. SYS01stealer sử dụng PowerShell để né tránh phát hiện, vô hiệu hóa các bảo mật của Microsoft Defender Antivirus, thiết lập môi trường hoạt động để đánh cắp dữ liệu dựa trên PHP và duy trì hoạt động qua các tác vụ theo lịch trình.

Chuyên gia khuyến cáo người dùng nên cẩn trọng và không nhấp vào các quảng cáo không đáng tin trên các nền tảng xã hội để bảo vệ thông tin cá nhân và tài khoản của mình.

Sự việc này xảy ra sau khi Perception Point phát hiện các chiến dịch lừa đảo lợi dụng nền tảng Eventbrite để đánh cắp thông tin tài chính và cá nhân. Những email từ địa chỉ noreply@events.eventbrite[.]com mời người dùng nhấp vào liên kết để thanh toán hóa đơn hoặc xác nhận địa chỉ giao hàng, sau đó yêu cầu nhập thông tin đăng nhập và thẻ tín dụng.

Kẻ lừa đảo tạo các tài khoản email hợp pháp trên Eventbrite, thiết lập các quảng cáo giả mạo và nhúng các liên kết lừa đảo trong phần mô tả. Điều này giúp email dễ dàng vượt qua bộ lọc và được người nhận mở ra.

Bên cạnh đó, sự gia tăng các vụ lừa đảo tiền điện tử cũng đang diễn ra, mạo danh nhiều thương hiệu lớn như Spotify, TikTok và Temu. Hoạt động này bắt đầu thông qua phương tiện truyền thông xã hội, tin nhắn SMS và các ứng dụng nhắn tin như WhatsApp và Telegram. 

Những người dùng đồng ý nhận việc sẽ được những kẻ lừa đảo hướng dẫn đăng ký trên một trang web độc hại bằng mã giới thiệu, sau đó họ được yêu cầu hoàn thành nhiều nhiệm vụ kiếm tiền khác nhau như viết bài đánh giá, đặt hàng sản phẩm, nghe các bài hát cụ thể trên Spotify hoặc đặt phòng khách sạn. Sau khi hoàn thành các nhiệm vụ “mồi nhử”, các nạn nhân sẽ được các kẻ lừa đảo khuyến khích nạp thêm tiền để làm các nhiệm vụ lớn hơn với mức hoa hồng “hấp dẫn” hơn.

Các chuyên gia khuyến cáo người dùng hãy nâng cao cảnh giác và thận trọng trước các liên kết không rõ nguồn gốc, để bảo vệ thông tin cá nhân và tài chính của mình khỏi những mánh khóe lừa đảo ngày càng tinh vi.

Nguồn: The hacker news