Cảnh báo chiến dịch tấn công bằng phần mềm giả mạo Ads Manager và Chrome Extensions độc hại nhắm tới tài khoản quảng cáo doanh nghiệp trên Facebook
Chiến dịch tấn công nhắm mục tiêu vào các tài khoản quảng cáo doanh nghiệp, tin tặc được xác định có nguồn gốc từ Việt Nam.
Thông tin về chiến dịch tấn công
Mục tiêu tấn công của chiến dịch này là các tài khoản quảng cáo doanh nghiệp cho Ads Manager trên Meta/Facebook. Ads Manager là một công cụ cho phép người dùng đăng quảng cáo trên các nền tảng khác nhau của Meta, bao gồm Facebook và Instagram.
Tin tặc có quyền truy cập vào một page có tên là Ads Manager (đã được xác minh từ Meta) và lợi dụng trang này để thực hiện các hành vi lừa đảo bằng cách lôi kéo các nạn nhân tải xuống phần mềm để quản lý quảng cáo của họ thông qua một công cụ an toàn và chuyên nghiệp hơn. Đáng chú ý là những trang này thường có hàng chục nghìn người theo dõi, bài đăng của chúng có thể nhanh chóng lan truyền và nhắm đến những người dùng doanh nghiệp, những người có thể chi tiền quảng cáo trên nền tảng này.
Để có thể đánh cắp tài khoản người dùng, tin tặc sẽ cần chuyển hướng người dùng đến các trang web giả mạo với logo và thương hiệu của Meta, lừa người dùng tải xuống chương trình Facebook Ads Manager của chúng. Để lưu trữ các tệp RAR có mật khẩu, tin tặc lợi dụng các nhà cung cấp dịch vụ đám mây như Google và Trello.
Phân tích phần mềm Ads Manager và Chrome extension độc hại
Sơ đồ luồng tấn công và lây nhiễm của phần mềm Ads Manager và Chrome extension độc hại
Sau khi tải về và giải nén tệp RAR, tệp này chứa gói cài đặt MSI. Khi nạn nhân bấm chạy file MSI này thì nó sẽ được cài đặt vào thư mục C:\Program Files (x86)\Ads Manager\Ads Manager. Bên trong thư mục Ads Manager có một batch script và hai thư mục con khác, trong đó một thư mục chứa một Chrome extension và thư mục System chứa một tệp WebDriver độc lập.
Batch script được khởi chạy sau khi gói cài đặt MSI hoàn tất. Một cửa số trình duyệt mới được mở ra với tiện ích mở rộng tùy chỉnh từ đường dẫn cài đặt trước đó, chuyển hướng nạn nhân đến trang đăng nhập Facebook.
taskkill /F /IM chrome.exe
taskkill /F /IM chromedriver.exe
timeout /t 1 >nul
start chrome.exe --load-extension="%~dp0/nmmhkkegccagdldgiimedpiccmgmiedagg4" "https://www.facebook.com/business/tools/ads-manager"
Nội dung file batch script ggbard.bat
Chrome extension được giả dạng giống tiện ích Google Translate và được coi là “Unpacked” vì được tải từ máy tính người dùng, mà không phải từ Chrome Web Store. Xem mã nguồn của tiện ích này thì thấy mã nguồn đã bị hex obfuscation nhằm che giấu hoạt động thật sự của nó.
Sau khi thực hiện deobfuscate mã nguồn, rõ ràng là tiện ích này không liên quan gì đến Google Translate. Trên thực tế nó nhắm vào Facebook và lấy những thông tin quan trọng có thể cho phép tin tặc đăng nhập được vào tài khoản bằng cách lấy cookie của người dùng qua phương thức cookies.getAll
Tiếp theo, tiện ích này sẽ cần gửi cookie đã lấy được cho tin tặc. Tuy nhiên, trên trang Facebook có Content Security Policy (CSP) để ngăn cản việc chia sẻ dữ liệu giữa các trang khác nhau, nên không thể gửi trực tiếp cookie về cho tin tặc được. Mặc dù vậy, tin tặc vẫn tìm ra cách để có thể nhận được cookie bằng cách sử dụng Google Analystics bởi vì Facebook cho phép chia sẻ đến domain này.
Mã nguồn của tiện ích sau khi được deobfuscate, sử dụng hàm getsss() để truy cập dữ liệu lưu trữ cục bộ của tiện ích chrome và sau đó sử dụng các thông tin từ dữ liệu lưu trữ để gửi yêu cầu POST đến https://www.google-analytics.com/collect. Tham số tid là tag ID mà Google Analytics sử dụng để kết nối dữ liệu với một tài khoản cụ thể, tin tặc đã dùng tài khoản mà chúng có thể kiểm soát để thay thế cho tài khoản google-analytics của Facebook. Tham số dp sẽ được gửi tới tài khoản của tin tặc, trước đó tham số dp được sử dụng để đề cập đến trang mà người dùng truy cập. Phương pháp tinh vi này cho phép tin tặc đánh cắp thông tin mà không bị phát hiện và không kích hoạt bất kỳ cảnh báo nào.
Một số thông tin về nhóm tin tặc
Qua điều tra có thể xác định được hơn 20 biến thể file RAR Facebook Ad Manager độc hại khác nhau được sử dụng để phát tán các tiện ích mở rộng của Chrome với mục đích chiếm quyền điều khiển tài khoản doanh nghiệp trên Facebook.
Thông tin từ các nhà nghiên cứu của Malwarebytes cho thấy họ đã tình cờ phát hiện một trang web lừa đảo mới và có chứa dữ liệu rò rỉ mà chúng đã đánh cắp được. Trong file Meta Ads Manager.rar được lưu trữ trên Google Drive có chứa các file văn bản về thông tin xác thực (checkpoint, cookie, token). Ngoài ra, tin tặc còn làm lộ tên chủ sở hữu file và địa chỉ email (thông tin này đã được cung cấp cho Meta). Khi phân tích sâu hơn, chúng ta có thể thấy các cột có tiêu đề bằng Tiếng Việt trong dữ liệu đã bị rò rỉ, dữ liệu liên quan đến tài khoản quảng cáo của nạn nhân (ngân sách quảng cáo, đơn vị tiền tệ, múi giờ, loại tài khoản,…). Điều này có thể xác định rằng tin tặc có nguồn gốc từ Việt Nam. Sau khi nhận ra lỗi của mình, tin tặc đã nhanh chóng loại bỏ tệp đó từ tài khoản Google Drive và cập nhật liên kết xuống trên trang web lừa đảo bằng một tệp mới từ MadiaFire.
Hạ tầng phát tán mã độc
Domain:
fbadmanage[.]info
fbadmanager[.]site
SHA256 hash file:
fd637520a9ca34f7b4b21164581a4ec498bf106ba168b5cb9fcd54b5c2caafd0
Khuyến cáo thực hiện
Thu hồi quyền truy cập đối với bất kỳ người dùng không xác định và tiến hành rà quét máy tính của mình để xác định và xóa mọi phần mềm độc hại tiềm ẩn có thể đã bị cài đặt trước đó.
Cập nhật các bản vá lỗi mới nhất để ngăn chặn nguy cơ bị khai thác các lỗ hổng.
Nếu trong máy tính đã bị nhiễm mã độc thì cần phải gỡ Chrome extension độc hại và xóa phần mềm đã tải xuống từ trang quảng cáo của tin tặc.
Gỡ Chrome extension độc hại
Gỡ cài đặt ứng dụng
Link tham khảo thêm:
Trong trường hợp các tổ chức hoặc cá nhân nghi ngờ bị lây nhiễm mã độc, liên hệ ngay với hotline: 0975843644 hoặc email đến địa chỉ: info@hsct.vn của HSCT để được hỗ trợ xử lý.