Mã độc lây lan qua Facebook có nguồn gốc từ Việt Nam NodeStealer lại “tái xuất giang hồ”

NodeStealer là mã độc ngân hàng được thiết kế nhằm mục tiêu tấn công, chiếm đoạt các tài khoản doanh nghiệp trên Facebook và đánh cắp tiền từ ví điện tử. Mã độc này được cho là xuất phát từ Việt Nam và được phát hiện lần đầu vào cuối tháng 5/2023 bởi Meta. Ban đầu, nó chỉ là phần mềm độc hại JavaScript trước khi phát triển thành phần mềm đánh cắp Python có khả năng thu thập dữ liệu liên quan đến tài khoản Facebook.

Mới đây nhất, các chuyên gia bảo mật của Netskope Threat Labs cũng cho biết đã phát hiện ra một biến thể mới của NodeStealer. Biến thể này không chỉ dừng lại ở việc tấn công tài khoản Facebook thông thường mà còn nhắm đến tài khoản Facebook Ads Manager – công cụ để quản lý các chiến dịch quảng cáo trên Facebook và Instagram.

Đặc biệt nguy hiểm khi NodeStealer mới còn có thể khai thác API Facebook Graph, cho phép truy cập vào thao tác dữ liệu trên Facebook của người dùng để đánh cắp thông tin ngân sách của các tài khoản quảng cáo.

Về phương thức lây nhiễm, người dùng chỉ cần vô tình truy cập vào một trang web độc hại hoặc tải xuống một tệp tin nhiễm độc, NodeStealer có thể âm thầm xâm nhập và đánh cắp các thông tin quan trọng từ người dùng. Thông tin bị đánh cắp sẽ được gửi đến hacker thông qua bot Telegram.

Tin tặc sẽ đăng nhập tài khoản của nạn nhân để thực hiện các chiến dịch quảng cáo độc hại sau đó. Thông thường, chỉ những tài khoản đã được xác minh mới được triển khai quảng cáo trên các nền tảng của Meta. Việc chiếm đoạt các tài khoản Facebook Ads Manager sẽ giúp tin tặc vượt qua hệ thống kiểm duyệt nội dung quảng cáo của Facebook để phát tán quảng cáo chứa mã độc, được ngụy trang dưới dạng phần mềm hoặc trò chơi.

“Chúng (mã độc NodeStealer) thu thập thông tin chi tiết về ngân sách của tài khoản Facebook Ads Manage của nạn nhân, đây có thể là cánh cổng cho quảng cáo độc hại lan tràn trên Facebook. Các kỹ thuật mới được NodeStealer sử dụng bao gồm dùng Windows Restart Manager để mở khóa các tệp cơ sở dữ liệu trình duyệt, thêm mã rác và sử dụng tập lệnh hàng loạt để tạo và thực thi tập lệnh Python một cách động”.

Đáng lưu ý, phiên bản mới của mã độc NodeStealer lại được thiết kế để tránh lây nhiễm vào các máy tính tại Việt Nam – một nỗ lực nhằm trốn tránh các hành động thực thi pháp luật của cơ quan chức năng. Điều này lại càng khiến người ta càng tin tưởng vào nguồn gốc của mã độc này đến từ đâu.

Quảng cáo độc hại qua Facebook là một trong những con đường lây nhiễm phổ biến nhất, chúng thường mạo danh các thương hiệu đáng tin cậy để phát tán phần mềm độc hại. Gần đây nhất, các chuyên gia an ninh mạng cũng đã phát hiện một chiến dịch tấn công mạng, ghi nhận diễn ra từ ngày 3/11/2024. Hacker đã giả mạo phần mềm quản lý mật khẩu Bitwaden, thông qua các quảng cáo Facebook để cài đặt tiện ích mở rộng cho Chrome giả mạo.

Theo các chuyên gia, phần mềm độc hại thu thập dữ liệu cá nhân và nhắm vào các tài khoản doanh nghiệp trên Facebook có khả năng gây ra tổn thất tài chính nghiêm trọng cho cả cá nhân lẫn doanh nghiệp. Các vụ tấn công và các loại mã độc mới phát hiện gần đây tiếp tục gióng lên hồi chuông cảnh báo về những nguy cơ đối với tài khoản cá nhân cũng như an toàn "ví tiền" của người dùng.