Một chiến dịch tinh vi nhắm mục tiêu vào các nhà quảng cáo của Meta thông qua các công cụ tối ưu hóa quảng cáo giả mạo được hỗ trợ bởi AI đã được phát hiện.

Các tác nhân đe dọa đang triển khai các tiện ích mở rộng Chrome độc hại để đánh cắp thông tin đăng nhập và chiếm quyền điều khiển tài khoản kinh doanh.

Dữ liệu nhạy cảm bị đánh cắp bao gồm cả thông tin đăng nhập và khả năng chiếm quyền phiên.

Tổng Quan Chiến Dịch Lừa Đảo

Tiện Ích Mở Rộng Giả Mạo “Madgicx Plus”

Cybereason Security Services đã xác định một chiến dịch tiện ích mở rộng Chrome độc hại đang phát triển.

Chiến dịch này nhắm mục tiêu cụ thể vào các nhà quảng cáo Meta (Facebook/Instagram) thông qua một nền tảng lừa đảo gọi là “Madgicx Plus”.

Công cụ tối ưu hóa quảng cáo giả mạo do AI điều khiển này là phiên bản mới nhất của một chiến dịch rộng hơn.

Chiến dịch này đã được DomainTools ghi nhận trước đây, cho thấy các tác nhân đe dọa thích ứng chiến thuật kỹ thuật xã hội trong khi tái sử dụng cơ sở hạ tầng hiện có.

Tận Dụng Uy Tín Thương Hiệu

Chiến dịch này lợi dụng uy tín của Madgicx, một công ty công nghệ quảng cáo nổi tiếng.

Chúng tạo ra các trang web mạo danh thuyết phục để quảng bá các tiện ích mở rộng trình duyệt giả mạo.

Những công cụ tiện ích mở rộng Chrome độc hại này được quảng cáo là công cụ nâng cao năng suất và tối ưu hóa hiệu suất quảng cáo.

Tuy nhiên, chúng thực chất hoạt động như các phần mềm độc hại thu thập thông tin đăng nhập và chiếm quyền phiên tinh vi.

Phân Tích Hạ Tầng Kỹ Thuật

Mạng Lưới Tên Miền Và Khám Phá Địa Chỉ IP

Các nhà nghiên cứu bảo mật đã phát hiện một mạng lưới rộng lớn các tên miền được tạo chuyên nghiệp để phân phối các tiện ích mở rộng Chrome độc hại.

Mặc dù được bảo vệ bởi các dịch vụ của Cloudflare, các nhà điều tra đã xác định thành công cơ sở hạ tầng lưu trữ thực.

Việc này được thực hiện bằng cách phân tích các hash favicon và sử dụng các công cụ tình báo nguồn mở như Shodan.

Sự khác biệt này không phải do chuyển hướng DNS mà do logic phía máy chủ điều chỉnh phản hồi dựa trên tiêu đề Host.

Cuộc điều tra đã tiết lộ hơn 20 tên miền liên quan đến chiến dịch.

Các tên miền này bao gồm privacy-shield[.]world, madgicxads[.]world và madgicx-plus[.]com.

Tái Sử Dụng Cơ Sở Hạ Tầng Và Hoạt Động Của Tác Nhân Đe Dọa

Phân tích cho thấy các tên miền này sử dụng logic phía máy chủ phức tạp.

Logic này cung cấp nội dung khác nhau tùy thuộc vào việc người dùng truy cập biến thể www hay non-www.

Điều này cho phép các nhà điều hành chạy nhiều chiến dịch theo chủ đề từ cùng một cơ sở hạ tầng, đồng thời giảm chi phí lưu trữ.

Các nhà nghiên cứu đã truy vết việc lưu trữ về địa chỉ IP 185.245.104[.]195, được điều hành bởi VDSina.

VDSina là một nhà cung cấp dịch vụ trước đây có liên quan đến các hoạt động độc hại.

Khám phá này xác nhận việc tái sử dụng cơ sở hạ tầng qua các giai đoạn khác nhau của chiến dịch.

Điều này cho thấy các hoạt động của tác nhân đe dọa được phối hợp thay vì các cuộc tấn công sao chép đơn lẻ.

Chi Tiết Kỹ Thuật Tiện Ích Mở Rộng Độc Hại

Yêu Cầu Quyền Hạn Đáng Báo Động

Phân tích tĩnh các tiện ích mở rộng Chrome độc hại đã tiết lộ các quyền hạn đáng báo động.

Các quyền này cho phép giám sát người dùng toàn diện và chiếm quyền điều khiển tài khoản.

Các tiện ích mở rộng yêu cầu quyền “host_permissions” cho tất cả các trang web.

Điều này cấp cho chúng khả năng chèn tập lệnh nội dung và đọc dữ liệu nhạy cảm trên bất kỳ tên miền nào mà người dùng truy cập.

Đặc biệt đáng lo ngại là các quyền “declarativeNetRequest”.

Các quyền này cho phép tiện ích mở rộng chặn và sửa đổi lưu lượng mạng mà người dùng không hề hay biết.

Kết hợp với khả năng tập lệnh nội dung, điều này tạo ra chức năng Man-in-the-Browser mạnh mẽ.

Chức năng này có thể vượt qua các kiểm soát bảo mật trên các nền tảng như Facebook và Gmail.

Cơ Chế Né Tránh CORS Và Chiếm Quyền Phiên

Các tiện ích mở rộng cũng triển khai các kỹ thuật để né tránh các chính sách Cross-Origin Resource Sharing (CORS).

Chúng thực hiện điều này bằng cách loại bỏ tiêu đề Origin khỏi các yêu cầu cụ thể.

Cơ chế này cho phép truy cập API trái phép bằng cách sử dụng token phiên hiện có của nạn nhân.

Điều này cho phép kẻ tấn công mạo danh người dùng mà không cần mật khẩu của họ.

Quy Trình Thu Thập Thông Tin Hai Giai Đoạn

Phân tích động đã tiết lộ một phương pháp hai giai đoạn tinh vi được thiết kế để tối đa hóa việc thu thập dữ liệu.

Ban đầu, các tiện ích mở rộng yêu cầu người dùng liên kết tài khoản Google của họ.

Các thông tin đăng nhập này được lưu trữ một cách lặng lẽ trong bộ nhớ cục bộ để duy trì sự hiện diện.

Sau đó, cuộc tấn công leo thang bằng cách yêu cầu kết nối tài khoản Facebook.

Điều này tạo ra nhiều con đường để chiếm quyền điều khiển tài khoản.

Tiện ích mở rộng sử dụng quy tắc Declarative Net Request để loại bỏ tiêu đề Origin khỏi các yêu cầu gửi đi.

Các yêu cầu này chứa tham số ‘caller=ext’.

Các tiện ích mở rộng duy trì liên lạc với cơ sở hạ tầng máy chủ điều khiển (C2) tại madgicx-plus[.]com.

Điều này cho phép rò rỉ dữ liệu theo thời gian thực và có khả năng thực thi lệnh từ xa.

Kết nối liên tục này cho phép các tác nhân đe dọa liên tục giám sát hoạt động của nạn nhân và mở rộng quyền truy cập theo thời gian.

Tấn Công Mạng Tinh Vi và Bền Bỉ

Việc tái sử dụng cơ sở hạ tầng của chiến dịch qua nhiều giai đoạn cho thấy các tác nhân đe dọa tinh vi.

Những tác nhân này liên tục điều chỉnh chiến thuật của mình, thể hiện một mối đe dọa mạng đáng kể.

Các tên miền trước đây liên quan đến các chiến dịch tiện ích mở rộng hoàn toàn khác đã được tái sử dụng để quảng bá nền tảng Madgicx giả mạo.

Điều này gợi ý các hoạt động được phối hợp chứ không phải các cuộc tấn công độc lập.

Sự kiên trì này, kết hợp với sự tinh vi về mặt kỹ thuật của các tiện ích mở rộng và yêu cầu quyền hạn rộng rãi, cho thấy chiến dịch này là một phần của nỗ lực lớn hơn.

Mục tiêu là chiếm quyền điều khiển tài khoản của nhà quảng cáo và thu thập dữ liệu kinh doanh có giá trị.

Sự thích ứng nhanh chóng của các mồi nhử và sự phát triển liên tục của cơ sở hạ tầng cho thấy một mối đe dọa đang hoạt động.

Mối đe dọa này rất có thể sẽ mở rộng hơn nữa.

Chỉ Số Thỏa Hiệp (IOCs)

Các chỉ số thỏa hiệp sau đây đã được xác định liên quan đến chiến dịch tiện ích mở rộng Chrome độc hại này:

• Tên miền độc hại:
  • privacy-shield[.]world
  • madgicxads[.]world
  • madgicx-plus[.]com
• Địa chỉ IP máy chủ độc hại:
  • 185.245.104[.]195

Khuyến Nghị Bảo Mật

Các chuyên gia bảo mật khuyến nghị các nhà tiếp thị kỹ thuật số hết sức thận trọng khi cài đặt các tiện ích mở rộng trình duyệt.

Đặc biệt là những tiện ích tuyên bố tối ưu hóa hiệu suất quảng cáo.

Các tổ chức nên triển khai các quy trình phê duyệt tiện ích mở rộng nghiêm ngặt.

Đồng thời, thường xuyên kiểm tra các tiện ích bổ sung trình duyệt đã cài đặt.

Việc này nhằm ngăn chặn hành vi đánh cắp thông tin đăng nhập và chiếm quyền điều khiển tài khoản.