Phần mềm độc hại được đề cập ở trên đã được các nhà nghiên cứu tại “Nhóm kiểm soát mối đe dọa nâng cao Bitdefender” đặt tên là S1deload Stealer trong một báo cáo mới, sau khi công cụ chống vi-rút của công ty phát hiện ra nó.
Đáng nói, S1deload Stealer lợi dụng các liên kết được đính kèm với các bài đăng trên mạng xã hội để lây nhiễm cho những người dùng cả tin.
Trước đây, để tránh bị phát hiện dễ dàng, S1deload Stealer đã sử dụng DLL SideLoading (một kỹ thuật tấn công trong đó tệp DLL giả mạo có thể được tải vào bộ nhớ của ứng dụng dẫn đến thực thi mã ngoài ý muốn) để lây nhiễm máy tính để bàn (PC) của nạn nhân.
Phương thức tấn công của S1deload Stealer
Tin tặc đã sử dụng kết hợp các cuộc tấn công “Social Engineering” (thủ thuật thao túng tâm lý và hành vi con người để đánh cắp thông tin cá nhân, quyền truy cập hoặc dữ liệu có giá trị) và bình luận. trên Facebook để lan truyền S1deload Stealer. Phần mềm độc hại này được phân phối thông qua kho lưu trữ ảnh theo chủ đề “người lớn”.
Nếu người dùng Facebook tải xuống một trong những kho lưu trữ này và giải nén thư mục hình ảnh, họ sẽ thấy một tệp thực thi được ký hợp lệ bởi “Western Digital” (một công ty thiết kế, sản xuất và phát triển thiết bị lưu trữ dữ liệu đã biết). Tuy nhiên, kèm theo đó sẽ là một file DLL độc hại.
Mặc dù tệp thực thi không phải là “món quà chết chóc” báo hiệu điều gì đó không ổn, Bitdefender cho đến nay đã phát hiện hơn 600 người dùng có PC bị nhiễm phần mềm độc hại S1deload Stealer theo phương pháp như sau: ở trên.
Nguồn hình ảnh: Shutterstock
Sau khi được cài đặt trên PC của nạn nhân, S1deload Stealer sẽ nhận được hướng dẫn từ máy chủ chỉ huy và kiểm soát (C&C) do tội phạm mạng đứng sau hoạt động điều hành.
Theo Bitdefender, sau khi được tải xuống, phần mềm độc hại có thể chạy một số thành phần bổ sung, bao gồm trình duyệt Chrome không đầu (chương trình mô phỏng trình duyệt nhưng không có giao diện người dùng). Trình duyệt này chạy ngầm và được sử dụng để tăng lượt xem các video trên YouTube, cũng như các bài đăng trên Facebook.
Tuy nhiên, S1deload Stealer cũng có thể triển khai một kẻ đánh cắp có khả năng giải mã, cũng như tải xuống thông tin đăng nhập và cookie đã lưu từ trình duyệt của nạn nhân. Phần mềm độc hại thậm chí còn triển khai một cryptojacker (kẻ tấn công chạy phần mềm khai thác tiền điện tử trên phần cứng), làm chậm nghiêm trọng hệ thống máy tính của nạn nhân.
Khi S1deload Stealer đánh cắp thành công tài khoản Facebook của nạn nhân, nó sẽ sử dụng Facebook Graph API (cách nạp dữ liệu vào và lấy dữ liệu ra khỏi social graph của Facebook) để xác định giá trị tài khoản của nạn nhân. xem nạn nhân có phải là quản trị viên của một trang web hoặc một nhóm hay không, đã trả tiền cho quảng cáo chưa, tài khoản có được liên kết với tài khoản quản lý doanh nghiệp hay không, v.v.
Với thông tin đăng nhập Facebook của người dùng trong tay, S1deload Stealer tạo ra một “vòng phản hồi” bằng cách spam các tài khoản khác để lây nhiễm cho các PC khác.
Nguồn hình ảnh: Shutterstock
Làm gì để đảm bảo an toàn?
Cho dù trên Facebook, YouTube, Instagram, Twitter hay bất kỳ trang mạng xã hội nào khác, bạn cần cẩn thận khi nhấp vào các liên kết từ các nguồn không xác định, vì bạn không bao giờ biết chúng sẽ đưa bạn đến đâu. Điều quan trọng hơn nữa là phải cẩn thận nếu người tạo bài đăng sử dụng công cụ rút ngắn URL.
Cũng vì lý do này, bạn phải luôn kiểm tra các liên kết trong trình duyệt của mình trước khi nhấp vào chúng. Trên máy tính, bạn có thể thực hiện điều đó bằng cách chỉ vào liên kết, trong khi trên điện thoại di động, bạn có thể nhấn và giữ liên kết để xem trước nơi liên kết sẽ đưa bạn đến. Tuy nhiên, tốt nhất vẫn là tránh nhấp vào liên kết trong các bài đăng trên mạng xã hội nếu có thể.
Mặc dù Bitdefender đã phát hiện và chú ý đến S1deload Stealer, vòng phản hồi mà phần mềm độc hại này tạo ra có thể sẽ giúp nó tiếp tục lan truyền trên mạng xã hội.
Link nguồn: https://cafef.vn/tranh-xa-neu-thay-thu-nay-o-cac-bai-dang-tren-facebook-vua-co-toi-600-nguoi-tro-thanh-nan-nhan-20230224142443064.chn
