Phần mềm độc hại NodeStealer nhắm vào các tài khoản quảng cáo trên Facebook, thu thập dữ liệu thẻ tín dụng
Các chuyên gia an ninh mạng vừa đưa ra cảnh báo về phiên bản cập nhật của phần mềm độc hại NodeStealer đang nhắm vào tài khoản quảng cáo trên Facebook của nạn nhân và thu thập dữ liệu thẻ tín dụng được lưu trữ trong trình duyệt web.
Theo đó, trong một báo cáo được chia sẻ với tờ The Hacker News, nhà nghiên cứu an ninh mạng Jan Michael Alcantara từ Netskope Threat Labs cho biết: "Chúng khai thác thông tin chi tiết về ngân sách trong tài khoản Facebook Ads Manager của nạn nhân, biến đây thành điểm khởi đầu để triển khai các chiến dịch quảng cáo độc hại trên nền tảng Facebook".
"Phần mềm độc hại NodeStealer đã triển khai các kỹ thuật mới, bao gồm việc sử dụng trình quản lý khởi động Windows (Windows Restart Manager) để mở khóa các tệp cơ sở dữ liệu trình duyệt, chèn mã rác để làm khó quá trình phân tích, và sử dụng tập lệnh hàng loạt nhằm tạo và thực thi các tập lệnh trên ngôn ngữ Python một cách linh hoạt", ông Jan Michael Alcantara cho biết thêm.
.jpg)
NodeStealer lần đầu tiên được Meta công khai ghi nhận vào tháng 5 năm 2023, ban đầu là một phần mềm độc hại dựa trên JavaScript. Tuy nhiên, phần mềm này đã phát triển thành một công cụ đánh cắp dữ liệu viết bằng Python, có khả năng thu thập thông tin liên quan đến tài khoản Facebook, từ đó tạo điều kiện thuận lợi cho việc chiếm đoạt tài khoản.
Phần mềm độc hại này được cho là do các nhóm tội phạm mạng người Việt phát triển, những đối tượng đã từng sử dụng nhiều loại phần mềm độc hại khác nhau. Chúng chủ yếu nhắm đến việc chiếm đoạt tài khoản quảng cáo trên Facebook và tài khoản doanh nghiệp, nhằm phục vụ cho các hoạt động độc hại khác.
Ngoài ra, một số biến thể của NodeStealer đã được phát hiện sử dụng chương trình Windows Restart Manager, một công cụ hợp pháp của hệ điều hành Windows, để mở khóa các tệp cơ sở dữ liệu SQLite mà có thể đang được các quy trình khác sử dụng.
Mục đích của hành động này là để tiếp cận và khai thác các dữ liệu nhạy cảm, như thông tin thẻ tín dụng, từ các trình duyệt web khác nhau. Việc sử dụng Windows Restart Manager như một công cụ để vượt qua các biện pháp bảo vệ tệp giúp phần mềm độc hại này có thể thu thập dữ liệu một cách tinh vi và khó bị phát hiện hơn.
Quảng cáo độc hại trên Facebook là một kênh lây nhiễm vô cùng hiệu quả, thường lợi dụng uy tín của các thương hiệu nổi tiếng để phát tán phần mềm độc hại dưới nhiều hình thức khác nhau. Điều này được thể hiện rõ qua một chiến dịch mới, bắt đầu từ ngày 3 tháng 11 năm 2024, trong đó kẻ tấn công mạo danh phần mềm quản lý mật khẩu Bitwarden.
Qua những quảng cáo được tài trợ trên Facebook, chúng dụ dỗ người dùng cài đặt một tiện ích mở rộng giả mạo cho Google Chrome, nhằm đánh lừa nạn nhân và cài đặt phần mềm độc hại vào hệ thống của họ. Chiến dịch này không chỉ nhắm đến việc đánh lừa người dùng mà còn lợi dụng nền tảng Facebook để phát tán phần mềm độc hại một cách rộng rãi và hiệu quả.
Trong một báo cáo công bố ngày 17/11 vừa qua, công ty an ninh mạng Bitdefender cho biết: "Phần mềm độc hại này thu thập thông tin cá nhân và nhắm mục tiêu vào các tài khoản doanh nghiệp trên Facebook, tiềm ẩn nguy cơ gây ra thiệt hại tài chính nghiêm trọng đối với cả cá nhân và doanh nghiệp".
Công ty bảo mật này cũng lưu ý rằng chiến dịch này một lần nữa làm nổi bật cách thức mà các tác nhân đe dọa lợi dụng các nền tảng uy tín như Facebook để lừa đảo người dùng, khiến họ vô tình làm suy yếu các biện pháp bảo mật của chính mình.
