Cảnh báo: Đối tượng phát tán mã độc qua tài khoản doanh nghiệp trên Facebook

- Một số đối tượng tấn công mạng tại Việt Nam đang sử dụng quảng cáo trên các nền tảng mạng xã hội như Facebook để phát tán mã độc. Các cuộc tấn công này chủ yếu nhắm vào tài khoản Facebook và Meta Business và đã trở nên phổ biến gần đây, với sự tham gia của các nhóm nổi tiếng như Ducktail và NodeStealer trong việc tấn công cá nhân và doanh nghiệp trên Facebook.

Các đối tượng tấn công đã sử dụng hàng loạt các phương thức truy cập trái phép vào tài khoản của người dùng, trong đó nổi bật nhất là hình thức Social engineering. Người dùng bị tiếp cận thông qua nhiều nền tảng khác nhau như Facebook, LinkedIn, WhatsApp hoặc các cổng công việc cho người làm tự do như Upwork. Ngoài ra, các đối tượng này đã sử dụng "Search Engine Poisoning" để làm tăng khả năng tiếp cận thông qua việc phân phối các phần mềm giả mạo của các ứng dụng CapCut, Notepadd++, OpenAI ChatGPT, Google Bard, và Meta Threads.

Đối tượng tấn công thường lợi dụng dịch vụ rút gọn URL, sử dụng Telegram làm máy chủ C&C và sử dụng các dịch vụ lưu trữ đám mây như Trello, Discord, Dropbox, iCloud, OneDrive và MediaFire để lưu trữ mã độc.

Ví dụ, nhóm tấn công Ducktail sử dụng chiến dịch giả mạo về thương hiệu để tiếp cận cá nhân và doanh nghiệp trên nền tảng Meta Business. Trong cuộc tấn công này, người dùng bị hướng đến những bài đăng giả trên Upwork và Freelancer thông qua quảng cáo trên Facebook hoặc

LinkedIn InMail. Những bài đăng này chứa một tệp mô tả công việc có chứa mã độc được lưu trữ trên dịch vụ đám mây. Qua đó, Ducktail đã sử dụng các mã độc này để đánh cắp session cookie từ trình duyệt và chiếm đoạt tài khoản doanh nghiệp Facebook. Những tài khoản này sau đó bị giao bán trên chợ đen với giá dao động từ 15$ tới 340$.

Các cuộc tấn công gần đây đã sử dụng các tệp shortcut và PowerShell để tải và thực thi mã độc. Các đối tượng tấn công cũng đã nâng cấp mã độc để thu thập thông tin cá nhân từ Twitter, TikTok Business và Google Ads, cũng như sử dụng các cookie Facebook bị đánh cắp trước đó để tạo quảng cáo lừa đảo và thực hiện leo thang đặc quyền nhằm phục vụ mục đích khác.

Đối tượng tấn công thường chiếm đoạt tài khoản bằng cách thêm địa chỉ email của mình vào tài khoản nạn nhân, sau đó thay đổi mật khẩu và địa chỉ email để khóa nạn nhân không thể truy cập vào tài khoản của họ. Hơn nữa, phần cuối của payload được ẩn đi bằng cách sử dụng loader để giải mã và thực thi một cách linh hoạt, nhằm tạo ra sự khó khăn trong việc kiểm tra và tránh bị phát hiện.

Ngoài ra, các đối tượng tấn công tại Việt Nam còn sử dụng tên người dùng có lượt theo dõi cao trên LinkedIn để tiếp cận mục tiêu và mở rộng phạm vi tiếp cận. Ducktail là một trong những đối tượng tấn công tại Việt Nam sử dụng các công cụ và chiến thuật chung để thực hiện các cuộc tấn công lừa đảo. Ngoài ra, còn có một phiên bản giả mạo của Ducktail được gọi là Duckport, cũng thực hiện đánh cắp dữ liệu và chiếm đoạt tài khoản trên Meta Business. Điều này cho thấy mối quan hệ giữa các đối tượng tấn công và việc chia sẻ công cụ và chiến thuật giữa các nhóm đe dọa hoặc hệ sinh thái tội phạm mạng Việt Nam đang phục vụ dịch vụ xã hội như Facebook.

Có hai nhóm tấn công mạng có liên quan đến Việt Nam là Ducktail và Duckport, đã sử dụng các công cụ và chiến thuật tương tự để thực hiện các cuộc tấn công lừa đảo trên nền tảng Meta Business và Facebook. Tuy Duckport bắt chước cách thức tấn công của Ducktail nhưng cũng sử dụng một số tính năng mới như mở rộng khả năng đánh cắp dữ liệu, chiếm đoạt tài khoản, có thể chụp ảnh hoặc sử dụng dịch vụ ghi chép note online trong chuỗi C&C, qua đó thay thế Telegram làm phương thức chuyển câu lệnh tới thiết bị nạn nhân.

Các chuyên gia bảo mật cho rằng sự trùng hợp giữa các yếu tố liên quan đến Việt Nam, cấu trúc hạ tầng và mục tiêu lựa chọn có thể là dấu hiệu cho thấy sự hợp tác giữa các nhóm tấn công hoặc hình thành một hệ sinh thái tội phạm mạng tại Việt Nam, tương tự như một mô hình dịch vụ tống tiền xoay quanh các nền tảng mạng xã hội như Facebook.

Trước các nguy cơ, cảnh báo được nêu ở trên, theo Trung tâm Giám sát an toàn không gian mạng quốc gia - Cục An toàn thông tin - Bộ TT&TT, các đơn vị cần thường xuyên cập nhật thông tin (như các chiến dịch tấn công của các nhóm APT, thông tin IoC kèm theo từng chiến dịch, điểm yếu lỗ hổng đang bị lợi dụng để khai thác…), rà soát trên các hệ thống thống thông tin để phát hiện và ngăn chặn, xử lý kịp thời.