Những kẻ lừa đảo đang sử dụng các quảng cáo khiêu dâm do trí tuệ nhân tạo (AI) tạo ra để dụ người dùng tải xuống và cài đặt phần mềm độc hại NodeStealer khét tiếng.
Các nhà nghiên cứu an ninh mạng tại công ty phát triển phần mềm an ninh mạng và diệt vi-rút Bitdefender Labs (Ru-ma-ni) đã chia sẻ thông tin chi tiết về làn sóng lừa đảo dựa trên phần mềm độc hại mới nhắm vào mạng quảng cáo của Meta trên Facebook để đánh cắp dữ liệu người dùng thông qua việc triển khai phần mềm độc hại NodeStealer.
NodeStealer được Meta (công ty mẹ của Facebook, Instagram) phát hiện lần đầu tiên vào tháng 5 năm 2023. Biến thể mới nhất của NodeStealer được viết bằng ngôn ngữ lập trình được sử dụng rộng rãi trong các ứng dụng web, phát triển phần mềm, khoa học dữ liệu và máy học Python (trước đó là ngôn ngữ lập trình JavaScript), có khả năng thu thập cookies, mật khẩu được lưu trữ trên trình duyệt web để đánh cắp tài khoản Facebook, Gmail và Outlook.
Đây là một công cụ đánh cắp thông tin được thiết kế để đánh cắp dữ liệu nhạy cảm của người dùng, bao gồm cả cookie và mật khẩu của trình duyệt. Nó cho phép các nhà khai thác chiếm quyền điều khiển Facebook, Gmail, Outlook và các tài khoản khác.
Các nhà nghiên cứu bảo mật tại Bitdefender cho biết, khi người dùng nhấp vào quảng cáo độc hại (sử dụng các hình ảnh hở hang), ngay lập tức trình duyệt sẽ tải xuống tệp tin PhotoAlbum.exe. Nếu nạn nhân mở tệp tin, phiên bản mới nhất của phần mềm độc hại NodeStealer sẽ được tải về.
Meta đã bị phần mềm độc hại tấn công, đặc biệt là trên mạng tài khoản Facebook Business, nơi các tác nhân độc hại cố gắng đánh cắp thông tin đăng nhập và thông tin thanh toán của người dùng.
Theo bài đăng trên blog của Bitdefender được xuất bản vào ngày 31 tháng 10 năm 2023, công cụ Trình quản lý quảng cáo của Meta đang bị khai thác tích cực trong những trò gian lận này. Các nhà nghiên cứu nhận thấy rằng chiến dịch này nhắm đến người dùng nam trên Facebook đến từ Châu Phi, Châu Âu và Caribe trong độ tuổi từ 18-65 nhưng chủ yếu là nam giới trên 45 tuổi.
Theo nghiên cứu của Bitdefender, tội phạm mạng hiện đang nhắm mục tiêu vào người dùng Facebook thông thường ngoài tài khoản doanh nghiệp. Những kẻ đe dọa sử dụng số dư tín dụng quảng cáo của các tài khoản doanh nghiệp bị tấn công để chạy các quảng cáo gây hiểu lầm, bị nhiễm phần mềm độc hại nhằm phân phối phần mềm độc hại đến những người dùng không nghi ngờ.
Chiến dịch này liên quan đến việc hiển thị các quảng cáo có hình ảnh khiêu dâm của phụ nữ trẻ. Vì mục đích này, những kẻ tấn công đã tạo các trang Facebook nơi chúng chạy quảng cáo giả mạo có một số bức ảnh hở hang của phụ nữ trẻ, nhiều bức trong số đó là do AI tạo ra hoặc được photoshop hoặc chỉnh sửa. Theo các nhà nghiên cứu, một số hồ sơ giả đã thực hiện hoạt động tương tự như:
· Cập nhật album (Album Update).
· Cập nhật album riêng tư (Private Album Update).
· Cập nhật tin tức Album về các cô gái (Album Girl News Update).
· Cập nhật Album nóng hôm nay (Hot Album Update Today).
· Cập nhật Album mới hôm nay (Album New Update Today).
· Cập nhật Album riêng tư hôm nay (Album Private Update Today).
Các album này liên kết đến kho lưu trữ Gitlab hoặc Bitbucket lưu trữ kho lưu trữ chứa tệp thực thi Windows và cài đặt một biến thể mới của trình đánh cắp thông tin NodeStealer. Những kẻ tấn công cũng thu hút người dùng thông qua các mô tả ngắn để họ tải xuống kho lưu trữ phương tiện. Ví dụ: họ đăng các chú thích như “Xem ngay trước khi nội dung bị xóa” và “Hôm nay có nội dung mới trực tuyến”.
Khi người dùng không nghi ngờ nhấp vào quảng cáo hoặc ảnh, họ sẽ được chuyển hướng đến một trang web độc hại và được nhắc tải xuống tệp có tiêu đề “Album ảnh”. Đây là một tệp lưu trữ chứa tệp thực thi độc hại.
Hơn nữa, khi NodeStealer được cài đặt trên thiết bị của nạn nhân, nó sẽ bắt đầu đánh cắp dữ liệu như thông tin đăng nhập tài khoản Facebook, cookie trình duyệt và dữ liệu cá nhân khác, sau đó kẻ tấn công sử dụng để chiếm đoạt tài khoản. Chỉ trong vòng 10 ngày, đã có 100.000 lượt tải xuống phần mềm độc hại tiềm ẩn và một quảng cáo đã thu hút khoảng 15.000 lượt tải xuống trong vòng 24 giờ.
Trang web Hackread đã báo cáo về một chiến dịch trước đó trong đó tin tặc đã chiếm đoạt tài khoản doanh nghiệp Facebook bằng cách sử dụng NodeStealer 2.0 và đánh cắp tiền điện tử. Chiến dịch này đã được phát hiện vào tháng 8 bởi các nhà nghiên cứu của công ty an ninh mạng đa quốc gia Palo Alto Networks (Mỹ).
Hiện chưa rõ nhóm tội phạm mạng nào đứng đằng sau chiến dịch gần đây. Nhưng các chuyên gia bảo mật cảnh báo người dùng Facebook cần thận trọng khi nhấp vào quảng cáo hoặc truy cập trang web.
Theo các chuyên gia bảo mật, để hạn chế bị tấn công, chủ sở hữu tài khoản Facebook phải luôn sử dụng giải pháp bảo mật trên thiết bị của mình bằng cách sử dụng mật khẩu mạnh và kích hoạt tính năng xác thực hai yếu tố trong phần cài đặt đồng thời luôn cập nhật các giải pháp bảo mật mới nhất.
Bên cạnh đó, người dùng Facebook cũng lưu ý chỉ nên kết bạn với những người mình biết và tin tưởng; không nhấp chuột vào các liên kết hoặc tải xuống các tệp đính kèm từ người lạ và báo cáo các hoạt động đáng ngờ cho Facebook.
Theo nguồn sưu tầm.