MinhSec
Writer
Các nhà nghiên cứu tại Acronis vừa cảnh báo về một chiến dịch lừa đảo sử dụng FileFix, biến thể mới của kỹ thuật tấn công quen thuộc ClickFix. Chiến dịch này lợi dụng các trang web giả mạo Facebook Security để lây nhiễm phần mềm độc hại StealC, nhắm vào người dùng ở nhiều quốc gia.
Mục tiêu thường nhận được cảnh báo rằng tài khoản Facebook sắp bị khóa vì vi phạm chính sách. Khi bấm vào liên kết kháng cáo, họ được đưa đến một trang giả mạo hỗ trợ của Meta. Khác với biểu mẫu hay CAPTCHA thông thường, trang này yêu cầu người dùng dán một đoạn đường dẫn vào thanh địa chỉ của cửa sổ tải tệp lên. Chỉ một thao tác đó đã kích hoạt tập lệnh độc hại trên máy tính.
Tấn công diễn ra theo nhiều giai đoạn: đầu tiên là tải xuống hình ảnh chứa mã ẩn được lưu trữ trên Bitbucket, tiếp đó là giải nén và chạy các tệp thực thi. Kỹ thuật ẩn mã khiến các tệp trông vô hại cho tới khi được kích hoạt.
Theo Acronis, đích đến cuối cùng là StealC Infostealer phần mềm chuyên đánh cắp dữ liệu đăng nhập, thông tin trình duyệt, ví tiền điện tử và mã thông báo tài khoản từ các ứng dụng chat hoặc dịch vụ đám mây. StealC cũng có thể tải thêm mã độc khác, giúp kẻ tấn công mở rộng khả năng xâm nhập.
Khác với các biến thể FileFix hay ClickFix trước đây, chiến dịch này được đầu tư kỹ lưỡng: trang lừa đảo hỗ trợ nhiều ngôn ngữ, mã hóa và chèn mã rác để né tránh phân tích. Hoạt động của chúng đã được ghi nhận tại Mỹ, Đức, Bangladesh, Philippines và nhiều nước khác, cho thấy phạm vi tấn công rất rộng.
Các chuyên gia bảo mật nhấn mạnh: thay vì tin rằng có thể ngăn chặn toàn bộ mối đe dọa, doanh nghiệp nên chuẩn bị kế hoạch ứng phó sự cố và triển khai nguyên tắc Zero Trust giả định kẻ tấn công có thể xâm nhập, rồi hạn chế thiệt hại ngay từ bên trong.
Người dùng cá nhân cũng cần cảnh giác với email hoặc tin nhắn lạ, tránh nhấp liên kết đáng ngờ và tuyệt đối không làm theo hướng dẫn dán đường dẫn hay chạy tập lệnh trên máy tính.
hackread.com
Cách tấn công “ẩn trong tầm mắt”
Mục tiêu thường nhận được cảnh báo rằng tài khoản Facebook sắp bị khóa vì vi phạm chính sách. Khi bấm vào liên kết kháng cáo, họ được đưa đến một trang giả mạo hỗ trợ của Meta. Khác với biểu mẫu hay CAPTCHA thông thường, trang này yêu cầu người dùng dán một đoạn đường dẫn vào thanh địa chỉ của cửa sổ tải tệp lên. Chỉ một thao tác đó đã kích hoạt tập lệnh độc hại trên máy tính.
Tấn công diễn ra theo nhiều giai đoạn: đầu tiên là tải xuống hình ảnh chứa mã ẩn được lưu trữ trên Bitbucket, tiếp đó là giải nén và chạy các tệp thực thi. Kỹ thuật ẩn mã khiến các tệp trông vô hại cho tới khi được kích hoạt.
Theo Acronis, đích đến cuối cùng là StealC Infostealer phần mềm chuyên đánh cắp dữ liệu đăng nhập, thông tin trình duyệt, ví tiền điện tử và mã thông báo tài khoản từ các ứng dụng chat hoặc dịch vụ đám mây. StealC cũng có thể tải thêm mã độc khác, giúp kẻ tấn công mở rộng khả năng xâm nhập.
Chiến dịch quy mô lớn, lời cảnh báo cho người dùng
Khác với các biến thể FileFix hay ClickFix trước đây, chiến dịch này được đầu tư kỹ lưỡng: trang lừa đảo hỗ trợ nhiều ngôn ngữ, mã hóa và chèn mã rác để né tránh phân tích. Hoạt động của chúng đã được ghi nhận tại Mỹ, Đức, Bangladesh, Philippines và nhiều nước khác, cho thấy phạm vi tấn công rất rộng.
Các chuyên gia bảo mật nhấn mạnh: thay vì tin rằng có thể ngăn chặn toàn bộ mối đe dọa, doanh nghiệp nên chuẩn bị kế hoạch ứng phó sự cố và triển khai nguyên tắc Zero Trust giả định kẻ tấn công có thể xâm nhập, rồi hạn chế thiệt hại ngay từ bên trong.
Người dùng cá nhân cũng cần cảnh giác với email hoặc tin nhắn lạ, tránh nhấp liên kết đáng ngờ và tuyệt đối không làm theo hướng dẫn dán đường dẫn hay chạy tập lệnh trên máy tính.
Ongoing FileFix Attack Installs StealC Infostealer Via Fake Facebook Pages
Follow us on Bluesky, Twitter (X), Mastodon and Facebook at @Hackread
hackread.com
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview