Ngày 23 tháng 2 năm 2023Ravie Lakshmanan Tiền điện tử / Phần mềm độc hại
Một chiến dịch phần mềm độc hại đang hoạt động đã nhắm đến người dùng Facebook và YouTube bằng cách tận dụng một trình đánh cắp thông tin mới để chiếm đoạt tài khoản và lạm dụng tài nguyên của hệ thống để khai thác tiền điện tử.
Bitdefender đang gọi phần mềm độc hại Kẻ trộm S1deload vì việc sử dụng các kỹ thuật tải bên DLL để vượt qua các biện pháp bảo vệ an ninh và thực thi các thành phần độc hại của nó.
“Sau khi bị nhiễm, S1deload Stealer đánh cắp thông tin đăng nhập của người dùng, mô phỏng hành vi của con người để tăng giả tạo video và các nội dung tương tác khác, đánh giá giá trị của các tài khoản cá nhân (chẳng hạn như xác định quản trị viên phương tiện truyền thông xã hội của công ty), khai thác tiền điện tử BEAM và truyền bá liên kết độc hại đến người theo dõi của người dùng,” nhà nghiên cứu Bitdefender Dávid ÁCS cho biết.
Nói cách khác, mục tiêu của chiến dịch là kiểm soát tài khoản Facebook và YouTube của người dùng, đồng thời cho thuê quyền truy cập để tăng số lượt xem và lượt thích cho video và bài đăng được chia sẻ trên nền tảng.
Ước tính có hơn 600 người dùng duy nhất đã bị ảnh hưởng trong khoảng thời gian sáu tháng từ tháng 7 đến tháng 12 năm 2022. Phần lớn các trường hợp lây nhiễm nằm ở Romania, Thổ Nhĩ Kỳ, Pháp, Bangladesh, Mexico, Peru và Canada.
Để thực hiện kế hoạch này, người dùng bị thu hút bởi nội dung có chủ đề người lớn thông qua các bài đăng trên Facebook có chứa các liên kết đến kho lưu trữ ZIP, khi được trích xuất sẽ kích hoạt một chuỗi lây nhiễm phức tạp dẫn đến việc triển khai phần mềm độc hại.
Bitdefender cho biết: “Do đó, tác giả phần mềm độc hại có thể tạo ra một vòng phản hồi: càng nhiều PC có thể lây nhiễm, chúng càng có thể spam trên Facebook, chúng càng có thể tạo ra nhiều nhấp chuột để lây nhiễm nhiều PC hơn”.
Bên cạnh khả năng tải xuống các mô-đun bổ sung trên máy chủ bị xâm nhập, phần mềm độc hại này còn chịu trách nhiệm khởi chạy trình duyệt Chrome không đầu sử dụng tiện ích mở rộng để tăng lượt xem video trên YouTube một cách giả tạo.
Kẻ đánh cắp tiếp tục nắm bắt thông tin xác thực và cookie đã lưu từ trình duyệt web, tiến hành kiểm tra hồ sơ Facebook và cũng tải một kẻ lừa đảo tiền điện tử để khai thác tiền điện tử mà nạn nhân không hề hay biết hoặc đồng ý.
Bitdefender cho biết họ đã tìm thấy cơ sở hạ tầng trùng lặp với một trang web có tên là upview[.]chúng tôi quảng cáo các tùy chọn để mua lượt xem, lượt thích và người đăng ký trên YouTube cũng như các tùy chọn để tăng lượt thích, nhận xét, người theo dõi và lượt xem video trên Facebook.
“Kẻ đánh cắp S1deload có ảnh hưởng nghiêm trọng đến quyền riêng tư đối với nạn nhân bị nhiễm nó”, công ty Rumani cho biết. “Phần mềm độc hại lọc thông tin đăng nhập đã lưu của nạn nhân, bao gồm email, mạng xã hội hoặc thậm chí cả tài khoản tài chính. Kẻ đe dọa có thể truy cập các tài khoản này hoặc bán chúng trên web tối.”
