MinhSec
Writer
Các chuyên gia bảo mật vừa cảnh báo về một chiến dịch quảng cáo độc hại tinh vi trên Facebook. Những kẻ tấn công đã tung ra tiện ích mở rộng trình duyệt giả mạo có tên “Meta Verified”, dụ người dùng nhẹ dạ cài đặt với lời hứa mở khóa dấu tích xanh mà không cần trả phí cho Meta.
Thực tế, tiện ích này được thiết kế để đánh cắp dữ liệu nhạy cảm như cookie phiên, mã thông báo truy cập và địa chỉ IP. Khi nạn nhân cài đặt, tiện ích sẽ ngay lập tức xuất toàn bộ cookie từ facebook.com rồi gửi về một bot Telegram do kẻ tấn công kiểm soát. Ngoài ra, nó còn truy vấn dịch vụ ipinfo.io để bổ sung dữ liệu vị trí, khiến thông tin bị đánh cắp có giá trị cao hơn trên các chợ đen.
Chiến dịch này được phát hiện nhờ phân tích của Bitdefender. Quảng cáo đi kèm video hướng dẫn có vẻ hợp pháp nhưng trong phần mã và lời bình luận lại xuất hiện dấu vết tiếng Việt.
Để qua mặt hệ thống phòng thủ, kẻ xấu còn tận dụng nền tảng lưu trữ hợp pháp như Box.com để phát tán tập tin. Tiện ích có thiết kế mô-đun, tự khởi động cùng Chrome và duy trì việc đánh cắp dữ liệu ngay cả khi người dùng tắt máy. Một số biến thể cho thấy chúng được tạo tự động, giúp kẻ tấn công triển khai chiến dịch quy mô lớn mà ít tốn công.
Theo các nhà nghiên cứu, phần mềm độc hại này còn khai thác Facebook Graph API để phân biệt tài khoản doanh nghiệp có giá trị cao với tài khoản cá nhân, từ đó tối ưu hóa việc trộm cắp.
Các chuyên gia khuyến cáo:
cybersecuritynews.com
Thực tế, tiện ích này được thiết kế để đánh cắp dữ liệu nhạy cảm như cookie phiên, mã thông báo truy cập và địa chỉ IP. Khi nạn nhân cài đặt, tiện ích sẽ ngay lập tức xuất toàn bộ cookie từ facebook.com rồi gửi về một bot Telegram do kẻ tấn công kiểm soát. Ngoài ra, nó còn truy vấn dịch vụ ipinfo.io để bổ sung dữ liệu vị trí, khiến thông tin bị đánh cắp có giá trị cao hơn trên các chợ đen.
Thủ đoạn tinh vi, có dấu vết nói tiếng Việt
Chiến dịch này được phát hiện nhờ phân tích của Bitdefender. Quảng cáo đi kèm video hướng dẫn có vẻ hợp pháp nhưng trong phần mã và lời bình luận lại xuất hiện dấu vết tiếng Việt.
Để qua mặt hệ thống phòng thủ, kẻ xấu còn tận dụng nền tảng lưu trữ hợp pháp như Box.com để phát tán tập tin. Tiện ích có thiết kế mô-đun, tự khởi động cùng Chrome và duy trì việc đánh cắp dữ liệu ngay cả khi người dùng tắt máy. Một số biến thể cho thấy chúng được tạo tự động, giúp kẻ tấn công triển khai chiến dịch quy mô lớn mà ít tốn công.
Theo các nhà nghiên cứu, phần mềm độc hại này còn khai thác Facebook Graph API để phân biệt tài khoản doanh nghiệp có giá trị cao với tài khoản cá nhân, từ đó tối ưu hóa việc trộm cắp.
Người dùng cần cảnh giác
Các chuyên gia khuyến cáo:
- Không tải tiện ích mở rộng từ các liên kết quảng cáo.
- Kiểm tra kỹ nguồn gốc trước khi cài đặt.
- Các nhóm bảo mật nên giám sát hoạt động bất thường liên quan đến cookie và tăng cường kiểm tra tiện ích trình duyệt.
Beware of Malicious Facebook Ads With Meta Verified Steals User Account Details
Fake ‘Meta Verified’ extension spread via Facebook ads steals cookies and tokens, with Vietnamese actors hosting files on Box.com.
cybersecuritynews.com
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview