Tin tặc đang lợi dụng các công cụ quảng cáo và các trang bị chiếm quyền để phát tán mã độc đánh cắp mật khẩu trên Facebook.
Các chiến dịch này bắt đầu bằng việc chúng chiếm quyền điều khiển một tài khoản Facebook đã tồn tại. Sau khi xâm nhập, chúng bắt đầu thay đổi thông tin, ảnh bìa và ảnh đại diện, khiến những trang đó như thể thuộc về các công cụ tạo hình ảnh và video AI nổi tiếng như Midjourney, hay Sora và DALL-E của OpenAI.
Tiếp theo, tội phạm mạng tăng độ đáng tin của các trang đó bằng cách đăng tin tức, hình ảnh và quảng cáo về các nâng cấp mới của các dịch vụ AI bị mạo danh. Đồng thời chúng đăng tải các đường dẫn giả cho người dùng quyền truy cập miễn phí hoặc dùng thử các công cụ đó.
Mục đích của chiến dịch này là lừa nạn nhân truy cập vào một liên kết độc hại và tải mã độc xuống thiết bị của họ.
Nhiều quảng cáo chứa mã độc từng được các chuyên gia bảo mật của Bitdefender kiểm tra đều thúc giục người dùng tải xuống phần mềm AI mạo danh từ Dropbox và Google Drive. Tuy nhiên, các chiến dịch giả dạng Midjourney đã sử dụng một cách tiếp cận khác.
Tội phạm mạng đã tạo ra hơn một chục trang web độc hại bắt chước trang web chính thức của Midjourney để dụ người dùng tải xuống phiên bản mới nhất thông qua liên kết GoFile.
Bốn mã độc được dùng trong các cuộc tấn công
Thông qua mô hình Malware-as-a-Service (MaaS), tội phạm mạng đã tạo ra một hệ thống phát tán mã độc cho phép bất kỳ cá nhân nào có ý đồ xấu thực hiện các cuộc tấn công tinh vi chi phí thấp và các hoạt động bất chính khác.
Điều này bao gồm đánh cắp thông tin nhạy cảm, xâm nhập vào các tài khoản, thực hiện hành vi gian lận, phá rối hoạt động hoặc yêu cầu tiền chuộc sau khi mã hóa dữ liệu trên hệ thống nạn nhân.
Các chiến dịch quảng cáo độc hại (malvertising) đã và đang phát tán một loạt phần mềm độc hại gây ra rủi ro nghiêm trọng cho an toàn thiết bị, dữ liệu và danh tính của người dùng.
Những người dùng mạng xã hội tương tác với các quảng cáo trên có thể đã vô tình tải các mã độc sau xuống thiết bị của họ: Rilide Stealer, Vidar Stealer, IceRAT (được viết bằng JPHP) và Nova Stealer.
Rilide Stealer V4
Các nhà nghiên cứu tại Bitdefender Labs đã phát hiện phiên bản cập nhật của phần mềm đánh cắp thông tin Rilide Stealer (V4) trong nhiều chiến dịch quảng cáo giả mạo các phần mềm chỉnh sửa ảnh và ứng dụng AI như Sora, CapCut, Gemini AI, Photo Effects Pro và CapCut Pro.
Rilide là một mã độc chạy dưới dạng tiện ích mở rộng trình duyệt. Nó nhắm vào các trình duyệt dựa trên Chromium, bao gồm Google Chrome, Opera, Brave và Microsoft Edge.
Mã độc này cho phép kẻ tấn công theo dõi lịch sử duyệt web và đánh cắp thông tin đăng nhập. Thậm chí nó còn có thể rút trộm tiền điện tử bằng cách vượt qua xác thực hai yếu tố (2FA) thông qua kỹ thuật chèn tập lệnh.
Các diểm mới trong Rilide V4:
- Tập trung đánh cắp cookie của Facebook.
- Ngụy trang thành tiện ích mở rộng của Google Dịch.
- Sử dụng các kỹ thuật che giấu tinh vi hơn để qua mặt người dùng. Cụ thể, khi cài đặt, nó sẽ mở trang web chính thức của phần mềm AI mà nó mạo danh để đánh lừa người dùng. Trong khi đó, nó bắt đầu tải tiện ích mở rộng độc hại vào trình duyệt của nạn nhân.
Vidar Stealer
Vidar là một phần mềm đánh cắp thông tin phổ biến khác được rao bán theo mô hình MaaS thông qua các quảng cáo và diễn đàn dark web cũng như các nhóm Telegram. Phần mềm này có khả năng đánh cắp thông tin cá nhân và tiền điện tử từ các thiết bị đã bị xâm nhập.
Hệ thống phân phối của Vidar Stealer đã tiến hóa qua nhiều năm, từ các chiến dịch spam truyền thống và phần mềm bẻ khóa cho đến quảng cáo độc hại trên trang tìm kiếm Google.
Hiện nay, nó đang lan truyền trên các nền tảng mạng xã hội và được phát tán thông qua quảng cáo trên Meta.
IceRAT
Mặc dù có tên gọi là RAT (Trojan truy cập từ xa), phần mềm độc hại này hoạt động giống như một backdoor hơn trên thiết bị của nạn nhân.
Nó đóng vai trò như một cửa ngõ cho các mã độc thứ cấp như phần mềm đào tiền ảo và phần mềm đánh cắp thông tin. IceRAT cho phép chúng đánh cắp thông tin đăng nhập và các thông tin nhạy cảm khác của nạn nhân.
Nova Stealer
Đây là một cái tên mới xuất hiện trong giới tội phạm mạng. Nova là một phần mềm đánh cắp thông tin cực kỳ hiệu quả với nhiều khả năng, bao gồm đánh cắp mật khẩu, xem trộm và ghi lại màn hình, chèn mã độc vào Discord và tấn công các ví tiền điện tử,...
Mã độc này được cung cấp dưới dạng MaaS bởi một cá nhân có biệt danh Sordeal.
Trang Midjourney giả mạo
Các công cụ AI đang rất phổ biến trên internet. Một số chúng hoàn toàn miễn phí. Một số cung cấp bản dùng thử không mất tiền, và một số khác yêu cầu người dùng phải đăng ký gói trả phí để sử dụng.
Midjourney là một trong những công cụ AI tạo sinh nổi tiếng nhất. Dịch vụ này cho phép người dùng tạo ra hình ảnh từ các mô tả đầu vào.
Với lượng người dùng ngày càng tăng (hơn 16 triệu tính đến tháng 11 năm 2023), Midjourney cũng đã trở thành mục tiêu ưa thích của các nhóm tội phạm mạng trong năm qua.
Ít nhất là từ tháng 6 năm 2023, tội phạm mạng đã thực hiện các chiến dịch quảng cáo quy mô lớn mạo danh công cụ AI này để phát tán phần mềm độc hại đến người dùng mạng xã hội.
Chỉ riêng một trang Facebook sử dụng tên Mid-Journey AI với 1,2 triệu người theo dõi đã có quảng cáo tiếp cận đến hơn 500.000 cá nhân ở châu Âu trước khi bị gỡ xuống vào ngày 8 tháng 3 năm 2024.
Trang Facebook này dường như đã bị chiếm đoạt vào ngày 28 tháng 6 năm 2023, khi những kẻ tấn công thay đổi tên gốc của nó. Theo thông tin từ phân tích của nhà nghiên cứu, những kẻ đứng sau quản lý trang này đến từ nhiều nơi trên thế giới.
Trước khi trang Midjourney giả mạo trên Facebook bị xóa sổ, Bitdefender đã kịp kiểm tra và lập danh mục các chiến dịch quảng cáo độc hại chạy trên đó.
Thoạt nhìn, có vẻ như những kẻ tội phạm mạng đứng sau trang giả mạo đã đầu tư nhiều thời gian và tài nguyên để tăng mức độ nổi tiếng và phạm vi tiếp cận của nó. Chúng liên tục đăng tải hàng loạt nội dung hấp dẫn với hàng trăm lượt thích và bình luận.
Các nhà nghiên cứu chưa thể xác nhận liệu các hình ảnh do AI tạo ra trong các quảng cáo lừa đảo đó có bị đánh cắp từ những người sáng tạo nội dung và các trang web khác hay không.
Nhóm tin tặc đã cố gắng tinh chỉnh quảng cáo của chúng. Một ví dụ thể hiện độ sáng tạo của chúng là những quảng cáo dành riêng cho người dùng Pháp, Đức và Tây Ban Nha. Các quảng cáo đó chứa các linh vật quốc gia được AI tái hiện lại.
Các quảng cáo khác đánh vào mối quan tâm của người dùng đến thị trường NFT. Chúng giả các cơ hội tạo sản phẩm nghệ thuật NFT và thậm chí cơ hội kiếm tiền thông qua blockchain.
Độ thành công của các chiến dịch này cho thấy mức độ tinh vi của chúng cũng như sự quan trọng của việc cảnh giác khi tương tác với các quảng cáo trực tuyến.
Quy mô khổng lồ của các mạng xã hội như Facebook cùng với kiểm duyệt thiếu chặt chẽ đã tạo điều kiện cho các chiến dịch này tồn tại trong thời gian dài. Điều này khiến các mã độ lan truyền không kiểm soát với những thiệt hại nghiêm trọng cho người dùng.
Nguồn: BleepingComputer, Bitdefender.
