Một chiến dịch malvertising tinh vi ban đầu nhắm mục tiêu người dùng Facebook với các quảng cáo giả mạo TradingView Premium đã mở rộng đáng kể phạm vi, hiện đang xâm nhập Google Ads và YouTube để phân phối mã độc đánh cắp tiền điện tử cao cấp. Chiến dịch này tận dụng các nền tảng quảng cáo hợp pháp để xâm phạm dữ liệu tài chính và ví tiền điện tử trên toàn cầu.

Tổng quan về Chiến dịch Malvertising

Các nhà nghiên cứu của Bitdefender đã theo dõi mối đe dọa dai dẳng này trong hơn một năm. Họ báo cáo rằng tội phạm mạng đang ngày càng vũ khí hóa các nền tảng quảng cáo chính thống để đánh cắp thông tin tài chính và ví tiền điện tử của người dùng. Đây là một ví dụ điển hình về cách thức một chiến dịch malvertising có thể gây ra thiệt hại lớn.

Ban đầu, chiến dịch độc hại này khai thác Facebook Ads để hứa hẹn “quyền truy cập miễn phí” vào TradingView Premium và các nền tảng giao dịch khác. Đây là một chiến thuật lừa đảo phổ biến nhằm thu hút nạn nhân.

Mở rộng Phạm vi và các Nền tảng Mục tiêu

Gần đây, các nhà nghiên cứu của Bitdefender Labs đã quan sát thấy sự leo thang đáng kể của mối đe dọa này. Các tác nhân đe dọa hiện đang tận dụng hệ sinh thái quảng cáo của Google và các kênh YouTube bị chiếm đoạt để tiếp cận đối tượng rộng lớn hơn. Thông tin chi tiết có thể tham khảo từ báo cáo của Bitdefender Labs: The Scam That Won’t Quit: Malicious TradingView Premium Ads Jump from Meta to Google and YouTube.

Sự mở rộng này tiềm ẩn rủi ro chưa từng có cho cả người tạo nội dung và người dùng thông thường. Kẻ tấn công lợi dụng sự tin tưởng liên quan đến các tài khoản đã xác minh và thương hiệu chính thức để thực hiện các cuộc tấn công.

Không giống như quảng cáo hợp pháp, các chiến dịch malvertising độc hại này chuyển hướng người dùng không nghi ngờ đến các tệp tải xuống chứa mã độc. Chúng được thiết kế đặc biệt để đánh cắp thông tin đăng nhập, chiếm đoạt tài khoản và lấy cắp dữ liệu tài chính nhạy cảm.

Các chiến dịch đã chứng minh sự tinh vi đáng chú ý trong cách thực hiện. Chúng sử dụng các kỹ thuật lây nhiễm đa giai đoạn và cơ chế lẩn tránh nâng cao để tránh bị phát hiện.

Kỹ thuật Mạo danh và Phát tán Mã độc

Trong một diễn biến đặc biệt đáng lo ngại, các nhà nghiên cứu đã phát hiện ra rằng tội phạm mạng đã chiếm đoạt thành công một tài khoản nhà quảng cáo Google thuộc về một công ty thiết kế của Na Uy. Điều này cho phép chúng chạy các quảng cáo độc hại một cách công khai, là một phần của chiến dịch malvertising rộng lớn.

Chiếm đoạt Tài khoản Google và YouTube

Kẻ tấn công cũng đã chiếm đoạt một kênh YouTube đã được xác minh. Sau đó, chúng có hệ thống đổi thương hiệu kênh này để mạo danh nền tảng TradingView chính thức. Điều này tạo ra một vỏ bọc đáng tin cậy cho các hoạt động độc hại.

Chiến lược mạo danh tinh vi này bao gồm nhiều yếu tố lừa đảo. Chúng khiến việc phát hiện trở nên cực kỳ khó khăn, ngay cả đối với người dùng cảnh giác.

Các Chiến thuật Mạo danh Tinh vi

Kênh bị xâm nhập được thiết kế tỉ mỉ để phản chiếu sự hiện diện xác thực của TradingView. Chúng tái sử dụng các yếu tố thương hiệu chính thức, bao gồm logo, biểu ngữ và các thành phần hình ảnh y hệt. Việc này tạo ra ấn tượng về tính hợp pháp.

Kẻ tấn công cũng sao chép các danh sách phát hợp pháp từ kênh TradingView thật. Điều này tạo ra ảo ảnh về nội dung đang hoạt động, mặc dù không có video gốc nào được tải lên.

Quan trọng nhất, chúng đã khai thác trạng thái huy hiệu đã được xác minh của kênh. Người dùng thường liên kết huy hiệu này với tính xác thực mà không cần thực hiện xác minh sâu hơn. Đây là một điểm yếu tâm lý bị lợi dụng.

Kênh bị chiếm đoạt không chứa nội dung gốc và chỉ có 96 lượt xem đã đăng ký. Đây là một điều bất khả thi đối với một kênh hợp pháp, xét đến mức độ phổ biến khổng lồ của TradingView.

Chiến lược mạo danh hoàn toàn dựa vào các video quảng cáo không công khai. Các video này chỉ được hiển thị thông qua các vị trí trả phí, tránh được sự giám sát của công chúng.

Một video quảng cáo đặc biệt thành công, có tiêu đề “Free TradingView Premium – Secret Method They Don’t Want You to Know,” đã thu hút hơn 182.000 lượt xem chỉ trong vài ngày. Điều này đạt được thông qua các chiến dịch malvertising và quảng cáo mạnh mẽ mặc dù video vẫn ở trạng thái không công khai.

Trạng thái không công khai này phục vụ một mục đích chiến lược có chủ ý. Nó ngăn chặn việc báo cáo ngẫu nhiên và kiểm duyệt nền tảng. Đồng thời, nó đảm bảo phân phối độc quyền thông qua các vị trí quảng cáo được nhắm mục tiêu.

Mô tả video bao gồm các yếu tố kỹ thuật xã hội tinh vi, hứa hẹn các lợi ích như giao dịch đơn giản, chỉ báo cá nhân hóa và chiến lược giao dịch “hợp lý”. Để tạo uy tín, kẻ tấn công thậm chí còn bao gồm các tuyên bố từ chối trách nhiệm về rủi ro tài chính.

Tuy nhiên, những thông điệp này che giấu ý định độc hại thực sự: chuyển hướng nạn nhân đến các tệp tải xuống chứa mã độc, triển khai các trang lừa đảo để đánh cắp thông tin đăng nhập và phát tán lây nhiễm trên nhiều kênh và tên miền. Đây là mục tiêu cuối cùng của mọi chiến dịch malvertising tương tự.

Phân tích Kỹ thuật Mã độc đánh cắp tiền điện tử

Phân tích kỹ thuật của Bitdefender tiết lộ rằng mặc dù mã độc có các đặc điểm tương tự với các mẫu trước đó, trình tải xuống ban đầu là một giải pháp tùy chỉnh. Nó được thiết kế đặc biệt để chống lại sự phát hiện và phân tích.

Cơ chế Lây nhiễm Đa Giai đoạn và Evasion

Mã độc đánh cắp tiền điện tử này sử dụng một số kỹ thuật lẩn tránh tinh vi. Chúng làm phức tạp đáng kể cả nỗ lực phân tích tự động và thủ công.

• Trình tải xuống có kích thước lớn, vượt quá 700 MB. Điều này làm cho nó quá lớn đối với hầu hết các nền tảng phân tích tự động.
• Nó tích hợp các khả năng chống sandbox. Mã độc chủ động kiểm tra các môi trường ảo hóa hoặc sandbox, cản trở các nỗ lực phân tích động.

Quá trình lây nhiễm diễn ra qua nhiều giai đoạn. Nó sử dụng các kỹ thuật nhất quán với các chiến dịch infostealer đã được thiết lập sau khi các biện pháp phòng thủ ban đầu bị vượt qua.

Các giao thức giao tiếp đã phát triển đáng kể so với các phiên bản trước. Trong khi các mẫu trước đó sử dụng các yêu cầu HTTP thuần túy trên các cổng khác nhau, mã độc hiện tại giao tiếp qua WebSockets trên cổng 30000 sử dụng tuyến đường /config.

Các script front-end đã được nâng cao với cơ chế che giấu và mã hóa AES-CBC. Điều này khiến việc điều tra trở nên khó khăn hơn đáng kể.

Payload Cuối cùng: JSCEAL/WeevilProxy

Payload cuối cùng được xác định là JSCEAL bởi CheckPoint và WeevilProxy bởi WithSecure. Nó thể hiện các khả năng tinh vi bao gồm:

• Chặn tất cả lưu lượng mạng của người dùng thông qua chức năng proxy.
• Thu thập dữ liệu cookie và mật khẩu.
• Thực hiện ghi lại bàn phím (keylogging) và chụp ảnh màn hình.
• Đánh cắp dữ liệu ví tiền điện tử.
• Đảm bảo tính dai dẳng lâu dài trong hệ thống.

Quy mô và Mức độ Tinh vi của Chiến dịch

Phân tích mở rộng của Bitdefender về chiến dịch malvertising độc hại này đã tiết lộ phạm vi và mức độ tinh vi đáng kinh ngạc.

• Các nhà nghiên cứu đã xác định được hơn 500 tên miền và tên miền phụ được kết nối với cơ sở hạ tầng độc hại này. Điều này cho thấy phạm vi rộng lớn và mức đầu tư tài nguyên của chiến dịch.
• Các tác nhân đe dọa đã phát triển các mẫu mới nhắm mục tiêu macOS và Android. Chúng được thiết kế để mở rộng các cuộc tấn công ra ngoài hệ thống Windows, cho thấy khả năng mở rộng đa nền tảng.
• Nhiều kênh và trang bị chiếm đoạt hoặc mạo danh đồng thời đẩy các chiến dịch y hệt trên các nền tảng. Ít nhất một số tài khoản Google bị đánh cắp đã được quan sát thấy đang tạo điều kiện cho các hoạt động này.
• Hàng ngàn trang Facebook, thường có ít hơn năm lượt thích và tên, hình ảnh chung chung, tích cực phân phối quảng cáo độc hại.

Các tác nhân đe dọa thể hiện năng lực hoạt động đáng nể. Họ tạo ra hàng trăm quảng cáo mới hàng ngày bằng nhiều ngôn ngữ, đặc biệt là tiếng Anh, tiếng Việt và tiếng Thái. Đồng thời, họ liên tục xoay vòng tên miền và triển khai các chiến lược lẩn tránh mới.

Khuyến nghị Phòng ngừa và Bảo vệ

Để đối phó với các mối đe dọa như chiến dịch malvertising này, việc tăng cường bảo mật mạng là điều tối quan trọng. Người dùng và tổ chức cần thực hiện các biện pháp phòng ngừa chủ động.

Dành cho người dùng cá nhân

• Người dùng gặp quảng cáo hứa hẹn quyền truy cập miễn phí vào các công cụ giao dịch cao cấp nên hết sức thận trọng.
• Luôn xác minh tên kênh và số lượng người đăng ký trước khi tương tác.
• Các video không công khai nên gây nghi ngờ ngay lập tức, vì các công ty hợp pháp hiếm khi vận hành các chiến dịch quảng cáo chỉ không công khai.
• Tải xuống phần mềm chỉ nên thực hiện từ các trang web chính thức, không bao giờ thông qua các liên kết của bên thứ ba.

Dành cho nhà sáng tạo nội dung và doanh nghiệp

Các nhà sáng tạo nội dung và doanh nghiệp đối mặt với rủi ro đặc biệt từ các nỗ lực chiếm đoạt tài khoản. Các biện pháp bảo vệ thiết yếu bao gồm:

• Kích hoạt xác thực đa yếu tố mạnh mẽ (MFA) cho tất cả các tài khoản trực tuyến.
• Thường xuyên xem xét các tùy chọn khôi phục tài khoản.
• Kiểm tra vai trò và quyền của kênh định kỳ.
• Giám sát các hoạt động bất thường, chẳng hạn như thay đổi thương hiệu đột ngột hoặc tải lên video không mong muốn.

Các tổ chức nên triển khai các giải pháp bảo mật toàn diện. Ngoài ra, cần duy trì nhận thức liên tục về các chiến dịch mạo danh và lạm dụng quảng cáo đang phát triển. Các mối đe dọa tinh vi này tiếp tục thích nghi để vượt qua các cơ chế phát hiện, đồng thời nhắm mục tiêu các nhóm người dùng ngày càng đa dạng trên nhiều nền tảng, cho thấy tầm quan trọng của việc nhận diện các dấu hiệu của một chiến dịch malvertising.