Các chuyên gia của công ty phần mềm an ninh mạng Bitdefender đã phát hiện ra chiến dịch sử dụng quảng cáo trên Facebook của tin tặc để phát tán phần mềm độc hại và chiếm đoạt tài khoản mạng xã hội của người dùng.

Mục tiêu của tin tặc là cài đặt phiên bản mới của mã độc NodeStealer vào thiết bị của nạn nhân.

photo 1 16266858374231328212317.jpg
Nội dung quảng cáo khiêu dâm đang trở thành công cụ tiếp cận người dùng đắc lực của tin tặc.

Trong chiến dịch tấn công, tin tặc sử dụng các công cụ hợp pháp để phát tán quảng cáo trực tuyến và chèn các liên kết bị nhiễm mã độc vào các nội dung quảng cáo thông thường.

Để thu hút sự chú ý của người dùng, chúng tích cực sử dụng các hình ảnh mang tính khiêu dâm. Thậm chí, một số hình ảnh khiêu dâm là sản phẩm do trí tuệ nhân tạo (AI) tạo ra.

Trong chiến dịch được Bitdefender phát hiện, tin tặc đã sử dụng ít nhất 10 tài khoản đã bị xâm nhập của các tổ chức để chạy quảng cáo và phát tán mã độc tới người dùng Facebook thông thường, trong đó chủ yếu là nam giới trên 40 tuổi đến từ châu Âu, châu Phi và Nam Mỹ.

Với mỗi cú nhấp chuột vào quảng cáo, thiết bị điện tử sẽ lập tức khởi động quy trình tải một tệp lệnh xuống thiết bị của nạn nhân. Các nhà nghiên cứu ước tính có gần 100.000 người dùng đã tải xuống phần mềm độc hại chỉ trong 10 ngày tiến hành theo dõi.

Hiện chưa rõ nhóm tin tặc nào đứng sau chiến dịch này. Tuy nhiên, các cuộc tấn công bằng mã độc NodeStealer được ghi nhận chủ yếu nhắm vào các tài khoản Facebook Messenger của doanh nghiệp.

NodeStealer là một mã độc tương đối mới, cho phép tin tặc đánh cắp cookie trình duyệt của nạn nhân và chiếm lấy tài khoản Facebook. Biến thể NodeStealer được phát hiện trong chiến dịch tấn công mới đây có các tính năng cho phép tin tặc truy cập vào nền tảng Gmail, Outlook và tự động tải bổ sung các thành phần độc hại.

Khi tin tặc giành được quyền truy cập vào cookie trình duyệt của người dùng thông qua NodeStealer, chúng có thể chiếm đoạt tài khoản Facebook và có quyền truy cập vào thông tin nhạy cảm của nạn nhân.

Sau đó, tin tặc có thể thay đổi mật khẩu và kích hoạt các biện pháp bảo mật bổ sung trên tài khoản để chặn hoàn toàn quyền truy cập của chủ sở hữu hợp pháp và cho phép chúng tiếp tục thực hiện hành vi lừa đảo mà không bị phát hiện.

(theo Securitylab)