Các tên miền mạo danh được sử dụng nhằm tạo lưu lượng truy cập khổng lồ giúp tạo doanh thu quảng cáo cho các trang web của Fangxiao hoặc tăng lượng khách truy cập cho những “khách hàng” đã mua lưu lượng truy cập từ nhóm. Theo một báo cáo chi tiết của Cyjax (công ty tình báo về các mối đe dọa bảo mật kỹ thuật số của Anh), nhóm tin tặc này đến từ Trung Quốc và hoạt động từ năm 2017, chúng đã giả mạo hơn 400 thương hiệu nổi tiếng từ lĩnh vực bán lẻ, ngân hàng, du lịch, dược phẩm, vận tải, tài chính và năng lượng. Trong đó bao gồm: Coca Cola, McDonald's, Knorr, Unilever, Shopee, Emirates,… với nhiều trang web giả mạo và có nhiều tùy chọn ngôn ngữ khác nhau. Thông thường, các nạn nhân của Fangxiao khi truy cập vào các trang web giả mạo sẽ được chuyển hướng đến các trang web lây nhiễm trojan Triada hoặc một số phần mềm độc hại khác.
Để tăng lượng truy cập lớn cho khách hàng và các trang web của riêng mình, Fangxiao đăng ký khoảng 300 tên miền mạo danh thương hiệu mới hàng ngày. Kể từ đầu tháng 3/2022, nhóm tin tặc này đã sử dụng ít nhất 24 nghìn tên miền để quảng cáo các giải thưởng giả nhằm đánh lừa người dùng.
Một trong những trang tặng quà giả mạo được Fangxiao xây dựng
Hầu hết các trang web này sử dụng các tên miền cấp cao (Top Level Domain - TLD) ".top", ".cn", ".cyou", ".xyz", ".work" và ".tech". Các trang web được ẩn đằng sau Cloudflare và được đăng ký thông qua GoDaddy, Namecheap và Wix. Người dùng khi truy cập các trang web này thông qua quảng cáo trên thiết bị di động hoặc sau khi nhận được tin nhắn WhatsApp có chứa liên kết, thường sẽ được đưa ra những ưu đãi đặc biệt hoặc thông báo cho người nhận rằng họ đã giành được một giải thưởng nào đó.
Sau khi người dùng truy cập vào các miền giả mạo thì sẽ được chuyển hướng truy cập đến một miền khảo sát. Trong một số trường hợp, việc hoàn thành khảo sát dẫn đến việc tải xuống một ứng dụng mà người dùng được yêu cầu khởi chạy và tiếp tục mở trong ít nhất 30 giây, đủ thời gian để giúp chúng đăng ký người dùng mới dưới sự giới thiệu của Fangxiao.
Biểu đồ chuyển hướng người dùng đến các trang web khảo sát
Các trang đích cũng lưu trữ các quảng cáo từ ylliX mà Google và Facebook đã đánh dấu là "đáng ngờ" khi nhấp vào chúng sẽ dẫn đến một chuỗi chuyển hướng riêng biệt. Đường dẫn chuyển hướng phụ thuộc vào vị trí của người dùng (địa chỉ IP) và tác nhân người dùng, dẫn đến việc tải xuống trojan Triada, Amazon thông qua các liên kết, trang web hẹn hò giả mạo và lừa đảo thanh toán qua SMS.
Chuỗi chuyển hướng người dùng dùng dẫn đến nhiễm mã độc Triada
Một mục đích khác của Fangxiao là cửa hàng Goolge Play với ứng dụng App Booster Lite – RAM Booster, một công cụ tăng cường hiệu suất cho các thiết bị Android với hơn 10 triệu lượt tải xuống. Cyjax cho biết ứng dụng này không có chức năng độc hại, nhưng nó yêu cầu người dùng phê duyệt quyền truy cập vào các quyền cá nhân và chúng sẽ thực hiện số lượng lớn quảng cáo ứng dụng trên mức trung bình thông qua các cửa sổ bật lên và rất khó đóng. Người dùng có thể tìm thấy danh sách đầy đủ các miền do Cyjax tìm thấy để sử dụng trong chiến dịch này của Fangxiao tại đây.
Kết luận
Cuộc điều tra của Cyjax mang lại một số thông tin cho thấy Fangxiao là một nhóm tin tặc đến từ Trung Quốc, thông qua việc chúng sử dụng tiếng Trung trong một số bảng điều khiển được hiển thị. Tuy nhiên, ngoài một số địa chỉ email được liên kết với các diễn đàn hack như OGUsers thì không có thêm manh mối nào về danh tính của nhóm tin tặc này. Ngoài ra, hiện tại vẫn chưa biết liệu hoạt động quy mô lớn này sử dụng nhiều trang web giả mạo để thu hút nạn nhân nhằm đánh cắp thông tin và sử dụng vào mục đích xấu hay Fangxiao chỉ đơn thuần sử dụng các trang web đó để kiếm lợi nhuận.
Dương Trường
(theo bleepingcomputer)
09:00 | 21/04/2022
09:00 | 14/04/2023
08:00 | 27/07/2022
15:00 | 04/04/2024
09:00 | 10/10/2022
08:00 | 04/05/2024
Mới đây, Cisco cảnh báo rằng một nhóm tin tặc được nhà nước bảo trợ đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 để cài đặt phần mềm độc hại trên các hệ thống mạng viễn thông và năng lượng bị ảnh hưởng tại nhiều quốc gia.
13:00 | 28/03/2024
Một chiến dịch tấn công tinh vi được cho là do nhóm tin tặc APT của Trung Quốc có tên Earth Krahang thực hiện, chúng đã xâm nhập 70 tổ chức tại 23 quốc gia và nhắm mục tiêu vào ít nhất 116 tổ chức của 45 quốc gia khác trên thế giới.
07:00 | 15/01/2024
Pegasus được đánh giá là một trong những phần mềm gián điệp mạnh mẽ nhất hiện nay, chúng có các chức năng đánh cắp dữ liệu toàn diện hơn rất nhiều so với các phần mềm gián điệp khác, với khả năng thu thập thông tin mọi thứ từ dữ liệu có giá trị cao như mật khẩu, danh bạ và các dữ liệu từ các ứng dụng khác. Trong bài báo này, tác giả sẽ giới thiệu tổng quan về mã độc Pegasus và biến thể Chrysaor cùng các phương thức tấn công và cách phòng chống mã độc nguy hiểm này.
12:00 | 15/12/2023
Các nhà nghiên cứu của công ty an ninh mạng Cisco Talos gần đây đã phát hiện một chiến dịch độc hại có khả năng bắt đầu từ tháng 8/2023, phát tán một Trojan truy cập từ xa (RAT) mới có tên gọi là “SugarGh0st”. Cisco Talos cho biết các tin tặc nhắm mục tiêu vào Bộ Ngoại giao Uzbekistan và người dùng tại Hàn Quốc đồng thời quy kết hoạt động này cho tin tặc Trung Quốc.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024