Ngày 24/8, CyRadar ghi nhận một chiến dịch lừa đảo (phishing) người sử dụng Facebook đang diễn ra trên quy mô lớn. Chiến dịch này được phát tán qua tin nhắn Messenger, mạo danh Youtube và lừa người sử dụng cài đặt một tiện ích độc hại.

Chi tiết chiến dịch lừa đảo

Xuất phát từ những người dùng đã bị nhiễm, kẻ tấn công phán tán các đường link độc hại qua tin nhắn đến những bạn bè của nạn nhân. Đường link này được rút gọn và điều hướng đến một tài liệu trên Google Drive. Giao diện của tài liệu này giống như một video bình thường có chứa hình ảnh người dùng được nhắm đến, nhưng thực chất, đây là một tập tin PDF được mở ở chế độ toàn màn hình. Hình ảnh trên tài liệu này được chuẩn bị trước khi nạn nhân phát tán các đường link độc hại. Với những người dùng nhẹ dạ cả tin, sau khi kiểm tra thấy tên miền docs.google.com an toàn, họ sẽ nhấp để phát video mà không hề hay biết đấy chỉ là một đường link độc hại khác.
Đường link độc hại bị phát tán qua tin nhắn
Tập tin PDF ở chế độ toàn màn hình
Tại thời điểm này, người dùng sẽ được ngẫu nhiên điều hướng qua một loạt các trang quảng cáo để kẻ tấn công có thể thu lời hoặc một trang có giao diện mạo danh với youtube tại địa chỉ docs[.]mt2strom[.]com/video/profile.php?u=[facebook_user_id]. Trang này thậm chí còn có chứng chỉ SSL với biểu tượng kết nối an toàn của trình duyệt để làm cho việc phishing trở nên thuyết phục hơn. Nội dung trên trang phần lớn là những đường link giả dạng các video khiêu gợi hoặc thu hút người dùng. Khi người dùng nhấp vào bất kỳ đường link nào trên trang, bảng hội thoại thêm tiện ích độc hại “Wiki It” (Có ID iclfdnhdchmifbokddeceofadeikmmai trên webstore – Hiện đã bị gỡ) sẽ hiện ra. Nếu người dùng chấp nhận cài đặt tiện ích độc hại này, họ sẽ rơi vào giai đoạn hai của cuộc tấn công, ngược lại, nếu người dùng không chấp nhận cài đặt, họ sẽ an toàn trước cuộc tấn công này.
Trang giả mạo Youtube trong một chiến dịch cũ – Nguồn: THN
Ở giai đoạn hai của cuộc tấn công, tiện ích độc hại sẽ giả mạo tiện ích Wiki It thật, giữ nguyên các tính năng gốc như chọn đoạn văn bản để tìm kiếm trên Wikipedia. Mặt khác, kẻ tấn công triển khai một đoạn mã độc hại khác đã được làm rối để:
  • Ngăn không cho người dùng xóa tiện ích độc hại này.
  • Lấy các đoạn mã khác từ các máy chủ của chúng tại các máy chủ jsdo[dot]bid và postcdn[dot]bid và thực thi, từ đó đưa người dùng sang giai đoạn ba của cuộc tấn công.
Mã truy cập được gửi đến máy chủ jaredandre[dot]com
Ở giai đoạn ba của cuộc tấn công, các đoạn mã được thực thi chủ yếu nhằm:
  • Bật Platform của tài khoản người dùng;
  • Chiếm mã truy cập (access_token) của người dùng Facebook với ứng dụng fbpagemanager_ios một cách trái phép, lưu mã này tại một máy chủ khác ở địa chỉ jaredandrew[dot]com;
  • Sử dụng mã này để lấy danh sách bạn bè;
  • Phát tán đường link độc hại cho những người đang online hoặc idle trong thời điểm thực thi. Từ đó, kẻ tấn công có thể mở rộng quy mô chiến dịch lừa đảo.
Đoạn mã phát tán đường link đến danh sách bạn bè

Làm gì sau khi bị dính mã độc

Người sử dụng của CyRadar tại các doanh nghiệp đã được bảo vệ
  • Nếu bạn đã cài đặt tiện ích “Wiki It” giả mạo, trước tiên các bạn cần xóa tiện ích này.
    • Với trình duyệt Chrome: Chuột phải vào biểu tượng của tiện ích, chọn Xóa khỏi Chrome(Remove from Chrome)
    • Với trình duyệt Firefox: Xoá add-on tương ứng trong Safe Mode theo hướng dẫn này.
  • Xóa ứng dụng Pages Manager for IOS tại trang cài đặt ứng dụng để vô hiệu hóa mã truy cập đã bị đánh cắp.

Khuyến cáo đối với người dùng

  • Luôn cẩn trọng với các đường link nhận được, đặc biệt là những đường link lạ, gây chú ý hoặc gây sốc;
  • Không chấp nhận các yêu cầu thêm tiện ích mở rộng vào trình duyệt;
  • Tắt Facebook Platform tại đây nếu không có nhu cầu sử dụng.
Kẻ tấn công đằng sau chiến dịch này đã và đang tung ra nhiều chiến dịch khác có cùng phương thức tấn công, như các chiến dịch upej[dot]date và hiea[dot]me. Theo nhận định từ CyRadar, kẻ tấn công sẽ không dừng lại tại đây.
Đào Vinh Hiển – CyRadar
Tin liên quan: