Ngày 04 tháng 5 năm 2023Ravie LakshmananBảo mật trực tuyến / Trò chuyệnGPT
Meta cho biết họ đã thực hiện các bước để gỡ bỏ hơn 1.000 URL độc hại được chia sẻ trên các dịch vụ của mình. Các URL này được phát hiện lợi dụng ChatGPT của OpenAI làm mồi nhử để truyền bá khoảng 10 dòng phần mềm độc hại kể từ tháng 3 năm 2023.
Sự phát triển diễn ra trong bối cảnh các tiện ích mở rộng trình duyệt web ChatGPT giả mạo ngày càng được sử dụng nhiều hơn để đánh cắp thông tin xác thực tài khoản Facebook của người dùng với mục đích chạy quảng cáo trái phép từ các tài khoản doanh nghiệp bị chiếm đoạt.
Meta cho biết: “Những kẻ đe dọa tạo ra các tiện ích mở rộng trình duyệt độc hại có sẵn trong các cửa hàng web chính thức tuyên bố cung cấp các công cụ dựa trên ChatGPT”. “Sau đó, họ sẽ quảng cáo các tiện ích mở rộng độc hại này trên phương tiện truyền thông xã hội và thông qua các kết quả tìm kiếm được tài trợ để lừa mọi người tải xuống phần mềm độc hại.”
Gã khổng lồ truyền thông xã hội cho biết họ đã chặn một số lần lặp lại chiến dịch phần mềm độc hại đa hướng có tên là Ducktail trong nhiều năm, thêm vào đó họ đã gửi thư ngừng hoạt động cho các cá nhân đứng sau hoạt động này ở Việt Nam.
Trend Micro, trong một loạt các tweet vào tuần trước, đã trình bày chi tiết về một kẻ đánh cắp thông tin được ngụy trang thành ứng dụng khách máy tính để bàn Windows cho ChatGPT để trích xuất mật khẩu, cookie phiên và lịch sử từ các trình duyệt do Chromium cung cấp. Công ty cho biết phần mềm độc hại này có những điểm tương đồng với Ducktail.
Bên cạnh ChatGPT, các tác nhân đe dọa cũng đã được quan sát thấy đang chuyển sang “các vấn đề nóng hổi và chủ đề phổ biến” khác như Google Bard, công cụ tiếp thị TikTok, phần mềm và phim vi phạm bản quyền cũng như các tiện ích Windows để lừa mọi người nhấp vào các liên kết không có thật.
Guy Rosen, giám đốc an ninh thông tin tại Meta, cho biết: “Những thay đổi này có thể là nỗ lực của các tác nhân đe dọa nhằm đảm bảo rằng bất kỳ dịch vụ nào cũng chỉ có khả năng hiển thị hạn chế đối với toàn bộ hoạt động”.
Các chuỗi tấn công chủ yếu được thiết kế để nhắm mục tiêu vào tài khoản cá nhân của người dùng quản lý hoặc được kết nối với các trang kinh doanh và tài khoản quảng cáo trên Facebook.
Bên cạnh việc sử dụng phương tiện truyền thông xã hội để truyền bá các URL độc hại theo chủ đề ChatGPT, phần mềm độc hại được lưu trữ trên nhiều dịch vụ hợp pháp như Mua cà phê cho tôi, Discord, Dropbox, Google Drive, iCloud, MediaFire, Mega, Microsoft OneDrive và Trello.
Ducktail không phải là phần mềm độc hại đánh cắp dữ liệu duy nhất được phát hiện ngoài thực tế, vì Meta tiết lộ rằng nó đã phát hiện ra một chủng mới khác có tên là NodeStealer có khả năng đánh cắp cookie và mật khẩu từ trình duyệt web để cuối cùng xâm phạm tài khoản Facebook, Gmail và Outlook.
Phần mềm độc hại này được đánh giá là có nguồn gốc từ Việt Nam. Meta lưu ý rằng phần mềm này “đã hành động để phá vỡ phần mềm và giúp những người có thể là mục tiêu khôi phục tài khoản của họ” trong vòng hai tuần kể từ khi được triển khai vào cuối tháng 1 năm 2023.
Các mẫu do công ty phân tích cho thấy rằng tệp nhị phân NodeStealer được phân phối qua các tệp thực thi của Windows được ngụy trang dưới dạng tệp PDF và XLSX với tên tệp liên quan đến tiếp thị và ngân sách hàng tháng. Các tệp này khi được mở sẽ cung cấp mã javascript được thiết kế để lọc dữ liệu nhạy cảm khỏi các trình duyệt dựa trên Chromium.
NodeStealer lấy tên từ việc sử dụng môi trường thời gian chạy JavaScript đa nền tảng Node.js, được đóng gói cùng với tải trọng chính, để thiết lập tính bền bỉ và thực thi phần mềm độc hại. Không có hiện vật mới nào được xác định kể từ ngày 27 tháng 2 năm 2023.
Meta cho biết: “Sau khi truy xuất thông tin đăng nhập Facebook từ dữ liệu trình duyệt của mục tiêu, phần mềm độc hại sử dụng nó để thực hiện một số yêu cầu trái phép tới các URL của Facebook để liệt kê thông tin tài khoản liên quan đến quảng cáo”. “Thông tin bị đánh cắp sau đó cho phép tác nhân đe dọa đánh giá và sau đó sử dụng tài khoản quảng cáo của người dùng để chạy quảng cáo trái phép.”
Trong nỗ lực lọt vào tầm ngắm của các hệ thống chống lạm dụng của công ty, các yêu cầu lừa đảo được thực hiện từ thiết bị của người dùng được nhắm mục tiêu đến các API của Facebook, mang lại vẻ ngoài hợp pháp cho hoạt động.
Để chống lại các mối đe dọa như vậy, Meta cho biết họ sẽ tung ra một công cụ hỗ trợ mới hướng dẫn người dùng xác định và xóa phần mềm độc hại, cho phép doanh nghiệp xác minh tài khoản Trình quản lý doanh nghiệp được kết nối và yêu cầu xác thực bổ sung khi truy cập hạn mức tín dụng hoặc thay đổi quản trị viên doanh nghiệp.
