Một chiến dịch phát tán phần mềm độc hại mới đang diễn ra, lợi dụng đường link đính kèm trong các bài đăng trên mạng xã hội.

Phần mềm độc hại đề cập ở trên đã được các nhà nghiên cứu tại "Nhóm Kiểm soát mối đe dọa nâng cao của Bitdefender" đặt tên là S1deload Stealer trong một báo cáo mới, sau khi công cụ chống virus của hãng phát hiện ra.

Đáng nói, S1deload Stealer lợi dụng đường link đính kèm trong các bài đăng trên mạng xã hội để lây nhiễm cho những người dùng cả tin.

Trước đó, để tránh bị phát hiện dễ dàng, S1deload Stealer đã sử dụng DLL SideLoading (kỹ thuật tấn công trong đó một file DLL giả mạo có thể được nạp vào bộ nhớ của ứng dụng dẫn đến thực thi mã ngoài ý muốn) để lây nhiễm vào máy tính để bàn (PC) của nạn nhân.

Cách thức tấn công của S1deload Stealer

Tin tặc đã sử dụng kết hợp hình thức tấn công "Social Engineering" (thủ đoạn thao túng tâm lý và hành vi của con người để lấy cắp thông tin cá nhân, quyền truy cập hoặc dữ liệu có giá trị) và các bình luận trên Facebook để phát tán S1deload Stealer. Phần mềm độc hại này được phân phối thông qua các kho lưu trữ ảnh có chủ đề "người lớn".

Nếu người dùng Facebook tải xuống một trong những kho lưu trữ này và giải nén thư mục hình ảnh, họ sẽ thấy một tệp thực thi có chữ ký hợp lệ của "Western Digital" (một công ty thiết kế, sản xuất và phát triển thiết bị lưu trữ dữ liệu có tiếng). Tuy nhiên, đi kèm với đó sẽ là một tệp DLL độc hại.

Mặc dù tệp thực thi không phải là "món quà tặng chết chóc" báo hiệu điều gì đó không ổn, nhưng cho tới nay, Bitdefender đã phát hiện hơn 600 người dùng có PC bị nhiễm phần mềm độc hại S1deload Stealer theo phương thức như trên.

Sau khi được cài đặt trên PC của nạn nhân, S1deload Stealer sẽ nhận hướng dẫn từ máy chủ giữ vai trò chỉ huy và kiểm soát (C&C) do tội phạm mạng đứng sau chiến dịch này vận hành.

Theo Bitdefender, sau khi được tải xuống, phần mềm độc hại có thể chạy một số thành phần bổ sung, bao gồm trình duyệt Chrome không đầu (chương trình giả lập một trình duyệt nhưng không có giao diện người dùng). Trình duyệt này chạy ở chế độ nền và được sử dụng để tăng số lượt xem của các video YouTube, cũng như bài đăng trên Facebook.

Tuy nhiên, S1deload Stealer còn có thể triển khai một trình đánh cắp có khả năng giải mã, cũng như tải xuống thông tin xác thực và cookie đã lưu từ trình duyệt của nạn nhân. Phần mềm độc hại thậm chí còn triển khai một cryptojacker (kẻ tấn công chạy một phần mềm đào tiền điện tử trên phần cứng), làm chậm nghiêm trọng hệ thống máy tính của nạn nhân.

Khi S1deload Stealer thành công đánh cắp tài khoản Facebook của nạn nhân, nó sẽ sử dụng Facebook Graph API (cách để tải dữ liệu vào và lấy dữ liệu ra từ đồ thị xã hội của Facebook) để xác định giá trị tài khoản của nạn nhân, xem nạn nhân có phải là quản trị viên của một trang hay một nhóm không, có trả tiền quảng cáo không, tài khoản có được liên kết với tài khoản quản lý doanh nghiệp hay không…

Với thông tin đăng nhập Facebook của người dùng trong tay, S1deload Stealer tạo ra một "vòng lặp thông tin phản hồi" bằng cách spam các tài khoản khác để lây nhiễm những PC khác.

Làm gì để đảm bảo an toàn?

Dù là trên Facebook, YouTube, Instagram, Twitter hay bất cứ trang mạng xã hội nào khác, bạn cần cẩn trọng khi nhấp vào các liên kết từ nguồn không xác định, vì bạn không thể biết được chúng sẽ đưa mình tới đâu. Càng phải lưu ý hơn nếu người tạo bài đăng sử dụng công cụ rút ngắn URL.

Cũng vì lý do này, bạn luôn phải kiểm tra các liên kết trong trình duyệt của mình trước khi nhấp vào chúng. Trên máy tính, bạn có thể làm điều đó bằng cách trỏ chuột vào liên kết, còn trên điện thoại di động, bạn có thể nhấn và giữ liên kết để xem trước liên kết sẽ đưa mình tới đâu. Tuy nhiên, cách tốt nhất vẫn là tránh ấn vào đường link trong các bài đăng trên mạng xã hội nếu có thể.

Mặc dù Bitdefender đã phát hiện và lưu ý tới S1deload Stealer nhưng vòng phản hồi mà phần mềm độc hại này tạo ra có thể sẽ giúp nó tiếp tục lan truyền trên mạng xã hội.