Các tên miền mạo danh được sử dụng nhằm tạo lưu lượng truy cập khổng lồ giúp tạo doanh thu quảng cáo cho các trang web của Fangxiao hoặc tăng lượng khách truy cập cho những “khách hàng” đã mua lưu lượng truy cập từ nhóm. Theo một báo cáo chi tiết của Cyjax (công ty tình báo về các mối đe dọa bảo mật kỹ thuật số của Anh), nhóm tin tặc này đến từ Trung Quốc và hoạt động từ năm 2017, chúng đã giả mạo hơn 400 thương hiệu nổi tiếng từ lĩnh vực bán lẻ, ngân hàng, du lịch, dược phẩm, vận tải, tài chính và năng lượng. Trong đó bao gồm: Coca Cola, McDonald's, Knorr, Unilever, Shopee, Emirates,… với nhiều trang web giả mạo và có nhiều tùy chọn ngôn ngữ khác nhau. Thông thường, các nạn nhân của Fangxiao khi truy cập vào các trang web giả mạo sẽ được chuyển hướng đến các trang web lây nhiễm trojan Triada hoặc một số phần mềm độc hại khác.
Để tăng lượng truy cập lớn cho khách hàng và các trang web của riêng mình, Fangxiao đăng ký khoảng 300 tên miền mạo danh thương hiệu mới hàng ngày. Kể từ đầu tháng 3/2022, nhóm tin tặc này đã sử dụng ít nhất 24 nghìn tên miền để quảng cáo các giải thưởng giả nhằm đánh lừa người dùng.
Một trong những trang tặng quà giả mạo được Fangxiao xây dựng
Hầu hết các trang web này sử dụng các tên miền cấp cao (Top Level Domain - TLD) ".top", ".cn", ".cyou", ".xyz", ".work" và ".tech". Các trang web được ẩn đằng sau Cloudflare và được đăng ký thông qua GoDaddy, Namecheap và Wix. Người dùng khi truy cập các trang web này thông qua quảng cáo trên thiết bị di động hoặc sau khi nhận được tin nhắn WhatsApp có chứa liên kết, thường sẽ được đưa ra những ưu đãi đặc biệt hoặc thông báo cho người nhận rằng họ đã giành được một giải thưởng nào đó.
Sau khi người dùng truy cập vào các miền giả mạo thì sẽ được chuyển hướng truy cập đến một miền khảo sát. Trong một số trường hợp, việc hoàn thành khảo sát dẫn đến việc tải xuống một ứng dụng mà người dùng được yêu cầu khởi chạy và tiếp tục mở trong ít nhất 30 giây, đủ thời gian để giúp chúng đăng ký người dùng mới dưới sự giới thiệu của Fangxiao.
Biểu đồ chuyển hướng người dùng đến các trang web khảo sát
Các trang đích cũng lưu trữ các quảng cáo từ ylliX mà Google và Facebook đã đánh dấu là "đáng ngờ" khi nhấp vào chúng sẽ dẫn đến một chuỗi chuyển hướng riêng biệt. Đường dẫn chuyển hướng phụ thuộc vào vị trí của người dùng (địa chỉ IP) và tác nhân người dùng, dẫn đến việc tải xuống trojan Triada, Amazon thông qua các liên kết, trang web hẹn hò giả mạo và lừa đảo thanh toán qua SMS.
Chuỗi chuyển hướng người dùng dùng dẫn đến nhiễm mã độc Triada
Một mục đích khác của Fangxiao là cửa hàng Goolge Play với ứng dụng App Booster Lite – RAM Booster, một công cụ tăng cường hiệu suất cho các thiết bị Android với hơn 10 triệu lượt tải xuống. Cyjax cho biết ứng dụng này không có chức năng độc hại, nhưng nó yêu cầu người dùng phê duyệt quyền truy cập vào các quyền cá nhân và chúng sẽ thực hiện số lượng lớn quảng cáo ứng dụng trên mức trung bình thông qua các cửa sổ bật lên và rất khó đóng. Người dùng có thể tìm thấy danh sách đầy đủ các miền do Cyjax tìm thấy để sử dụng trong chiến dịch này của Fangxiao tại đây.
Kết luận
Cuộc điều tra của Cyjax mang lại một số thông tin cho thấy Fangxiao là một nhóm tin tặc đến từ Trung Quốc, thông qua việc chúng sử dụng tiếng Trung trong một số bảng điều khiển được hiển thị. Tuy nhiên, ngoài một số địa chỉ email được liên kết với các diễn đàn hack như OGUsers thì không có thêm manh mối nào về danh tính của nhóm tin tặc này. Ngoài ra, hiện tại vẫn chưa biết liệu hoạt động quy mô lớn này sử dụng nhiều trang web giả mạo để thu hút nạn nhân nhằm đánh cắp thông tin và sử dụng vào mục đích xấu hay Fangxiao chỉ đơn thuần sử dụng các trang web đó để kiếm lợi nhuận.
Dương Trường
(theo bleepingcomputer)
09:00 | 21/04/2022
09:00 | 14/04/2023
08:00 | 27/07/2022
15:00 | 04/04/2024
09:00 | 10/10/2022
10:00 | 28/03/2024
Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.
14:00 | 23/02/2024
Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.
14:00 | 19/02/2024
Tin tặc có thể giành quyền truy cập root trên nhiều bản phân phối chính của Linux trong cấu hình mặc định bằng cách khai thác lỗ hổng leo thang đặc quyền cục bộ mới được tiết lộ trong Thư viện GNU C (glibc).
07:00 | 15/01/2024
Pegasus được đánh giá là một trong những phần mềm gián điệp mạnh mẽ nhất hiện nay, chúng có các chức năng đánh cắp dữ liệu toàn diện hơn rất nhiều so với các phần mềm gián điệp khác, với khả năng thu thập thông tin mọi thứ từ dữ liệu có giá trị cao như mật khẩu, danh bạ và các dữ liệu từ các ứng dụng khác. Trong bài báo này, tác giả sẽ giới thiệu tổng quan về mã độc Pegasus và biến thể Chrysaor cùng các phương thức tấn công và cách phòng chống mã độc nguy hiểm này.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024
