Mã độc trong chiến dịch này được gọi là SilentFade (nghĩa là âm thầm chạy quảng cáo Facebook với mã khai thác), được phát hiện vào cuối năm 2018 và lỗ hổng mà nó khai thác đã được vá ngay sau đó. Facebook đã có hành động pháp lý đối với những kẻ tấn công vào tháng 12/2019.
SilentFade đã khai thác một lỗ hổng phía máy chủ để liên tục chặn thông báo và đảm bảo rằng người dùng bị nhiễm sẽ không phát hiện được các hoạt động đáng ngờ liên quan đến tài khoản của họ. Điều này cho phép SilentFade lạm dụng các tài khoản bị xâm nhập và chạy các quảng cáo độc hại mà nạn nhân không phát hiện ra điều gì.
Mặc dù SilentFade được phát hiện lần đầu tiên vào cuối năm 2018, nhưng nhóm tội phạm mạng đứng sau nó được cho là đã hoạt động từ năm 2016, liên tục thích ứng với các tính năng mới của Facebook và có khả năng mở rộng sang các nền tảng xã hội và dịch vụ web khác.
Mã độc SilentFade lây nhiễm dưới dạng chương trình không mong muốn tiềm ẩn (potentially unwanted program - PUP) bên trong các bản sao vi phạm bản quyền của phần mềm hợp pháp và các họ mã độc khác. Các gói PUP có một thành phần tải (downloader) với chức năng tìm và tải thành phần mã độc độc lập, từ đó duy trì dai dẳng và tải các tệp DLL độc hại xuống thư mục ứng dụng Chrome để thực hiện chiếm quyền điều khiển DLL.
Tiếp theo, mã độc đánh cắp thông tin đăng nhập Facebook từ các trình duyệt Internet, truy xuất siêu dữ liệu về tài khoản Facebook và gửi thông tin đến các máy chủ C&C. Địa chỉ IP của nạn nhân cũng được ghi lại cho các mục đích định vị địa lý.
Facebook giải thích: “Dựa trên việc xem xét dữ liệu do SilentFade thu thập, có khả năng các tài khoản người dùng bị xâm phạm có ít nhất một phương thức thanh toán được liên kết. Sau đó, SilentFade hoặc khách hàng của nó sẽ có thể sử dụng phương thức thanh toán của người dùng bị xâm phạm (thẻ tín dụng, tài khoản ngân hàng hoặc tài khoản PayPal) để chạy quảng cáo độc hại trên Facebook”.
Nếu không có trang Facebook hoặc thông tin thanh toán liên kết nào được liên kết tới tài khoản của người dùng, thì những kẻ tấn công sẽ sử dụng dữ liệu thẻ tín dụng bị đánh cắp để tạo trang Facebook và chạy quảng cáo. Tuy nhiên, theo người đại diện Facebook, không có chi tiết thông tin thanh toán nào của người dùng bị lộ cho kẻ tấn công.
Mã độc còn có chức năng kiểm tra chống máy ảo (anti-VM check) và nhắm mục tiêu vào thông tin đăng nhập và cookie cụ thể của Facebook chỉ được lưu trữ trên máy cục bộ. Nó cũng leo thang đặc quyền truy cập vào Graph API để thu thập thông tin bổ sung về nạn nhân và thực hiện hành động cụ thể để vượt qua các kiểm tra bảo mật mà Facebook sử dụng, chẳng hạn như yêu cầu sự cho phép của người dùng.
Các thông báo cảnh báo đã bị tắt hoàn toàn đối với các tài khoản bị xâm nhập, do đó ngăn người dùng nhận được cảnh báo về hoạt động đáng ngờ đang diễn ra. Cảnh báo đăng nhập và các trang Facebook Business cũng bị chặn.
Sau khi phát hiện hành vi độc hại, Facebook đã vá lỗ hổng xác thực phía máy chủ, hoàn nguyên trạng thái thông báo bị chặn trên tất cả các tài khoản bị ảnh hưởng, buộc phải đặt lại mật khẩu, vô hiệu hóa phiên đăng nhập, thêm nhiều bản sửa lỗi và cơ chế phát hiện, đồng thời hoàn lại tiền cho người dùng bị ảnh hưởng.
Facebook tiến hành điều tra mã độc SilentFade với sự hợp tác từ Radware, Bitdefender, Atlassian/BitBucket và Google/VirusTotal. Đồng thời, vào tháng 12/2019 đã kiện Công ty Quốc tế Trung Quốc ILikeAd Media cùng hai nhân viên của công ty này, đó là Chen Xiao Cong và Huang Tao, đã tạo và vận hành mã độc SilentFade.
Tuy nhiên, nhà phát triển SilentFade đã sửa đổi mã của họ để đảm bảo nó có thể hoạt động ngay cả với các cơ chế mới của Facebook và bắt đầu sử dụng tính năng rối mã (obfuscation) để ngăn chặn phát hiện.
Facebook cũng phát hiện thêm mã độc khác của Trung Quốc nằm trong số các mã độc nhắm mục tiêu vào người dùng Facebook. Hãng cho rằng các cuộc tấn công như vậy đã hoạt động kể từ tháng 6/2020. Một số mã độc được đề cập trong báo cáo được Facebook công bố bao gồm StressPaint, FacebookRobot và Scranos.
“Chúng tôi tin rằng kiểu chiến dịch tấn công này tiếp tục lan rộng vào năm 2019, với sự xuất hiện của hai chủng mã độc mới là Scranos và FacebookRobot, được phát hiện lần đầu tiên vào tháng 4 và tháng 6/2019”, Facebook nhấn mạnh.
Võ Nhân
(Theo Security Week)
15:00 | 15/10/2020
16:00 | 08/12/2020
16:00 | 09/12/2020
08:00 | 05/10/2020
08:00 | 18/08/2020
08:00 | 18/08/2020
17:00 | 19/02/2021
14:00 | 05/03/2021
10:00 | 22/04/2024
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
09:00 | 19/04/2024
Theo nhận định của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), trong thời gian gần đây các chiêu trò lừa đảo trực tuyến ngày càng gia tăng với các hình thức tinh vi hơn. Điều này khiến cho nhiều người dân khó nhận biết để phòng tránh nguy cơ mất an toàn thông tin.
13:00 | 26/02/2024
Tin tặc Nga có thể có liên quan đến cuộc tấn công mạng lớn nhất nhằm vào cơ sở hạ tầng quan trọng của Đan Mạch, 22 công ty liên quan đến hoạt động của ngành năng lượng của nước này đã bị nhắm mục tiêu vào tháng 5/2023.
14:00 | 16/01/2024
Các tài khoản X (Twitter) chính thức của Netgear và Hyundai MEA (có hơn 160.000 người theo dõi) là những tài khoản nổi tiếng mới nhất bị tin tặc tấn công để phát tán lừa đảo, nhằm lây nhiễm phần mềm độc hại, chiếm đoạt tiền điện tử của các nạn nhân.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024