CyberThao
Writer
Chiến dịch lừa đảo tinh vi nhắm vào người dùng tiền số
Các chuyên gia an ninh mạng đang cảnh báo về một chiến dịch đang diễn ra có quy mô lớn, trong đó tin tặc sử dụng quảng cáo Facebook để phát tán phần mềm độc hại JSCEAL thông qua các ứng dụng giao dịch tiền điện tử giả mạo.Theo báo cáo của Check Point, kẻ tấn công đã triển khai hàng ngàn quảng cáo độc hại trên Facebook – thường được đăng từ tài khoản bị đánh cắp hoặc tài khoản mới tạo – nhằm lừa người dùng truy cập vào các trang web giả mạo mô phỏng các nền tảng nổi tiếng như TradingView. Tại đây, nạn nhân bị hướng dẫn tải về một ứng dụng có chứa trình cài đặt độc hại.
Chiến dịch này sử dụng cách tiếp cận phân lớp: mã độc không nằm toàn bộ trong trình cài đặt, mà được chia nhỏ và phân bố ở nhiều tệp JavaScript khác nhau trên trang web nhiễm độc. Cấu trúc này cho phép kẻ tấn công điều chỉnh chiến thuật và tải trọng ở từng giai đoạn.
Đặc biệt, trình cài đặt và trang web độc hại cần hoạt động song song để phát tán thành công phần mềm độc hại, khiến việc phân tích và phát hiện trở nên cực kỳ khó khăn. Nếu bất kỳ thành phần nào bị vô hiệu hóa, chuỗi lây nhiễm sẽ bị gián đoạn.
Mục tiêu cuối cùng: đánh cắp thông tin và kiểm soát máy nạn nhân
Khi người dùng nhấp vào quảng cáo, họ bị chuyển hướng qua nhiều trang trước khi tới một trang đích giả mạo. Tại đây, một đoạn JavaScript kiểm tra địa chỉ IP và nguồn truy cập. Nếu đạt điều kiện, một gói cài đặt MSI sẽ được tải xuống. Gói này sẽ giải nén các tệp DLL, khởi tạo trình lắng nghe HTTP trên cổng localhost:30303, phục vụ cho việc gửi và nhận dữ liệu giữa trang web giả mạo và máy nạn nhân.Quá trình cài đặt còn mở một webview bằng msedge_proxy.exe để giả lập giao diện của ứng dụng thật, nhằm tránh gây nghi ngờ.
Các DLL thu thập dữ liệu hệ thống, cookie trình duyệt, mật khẩu tự động điền, tài khoản Telegram, ảnh chụp màn hình, thao tác bàn phím… Những thông tin này được gửi về cho kẻ tấn công dưới dạng tệp JSON thông qua PowerShell.
Nếu hệ thống được xác định là "có giá trị", chuỗi tấn công bước vào giai đoạn cuối: triển khai mã độc JSCEAL qua môi trường Node.js.
JSCEAL là phần mềm độc hại cực kỳ tinh vi: ngoài việc thiết lập proxy nội bộ để theo dõi và chèn mã độc vào các trang ngân hàng hoặc sàn tiền điện tử, nó còn có khả năng tấn công AitM (kẻ ở giữa), theo dõi hoạt động bàn phím, thao túng ví tiền mã hóa và hoạt động như một trojan truy cập từ xa (RAT).
Check Point cho biết: “Sự kết hợp giữa mã JavaScript được biên dịch, mã hóa phức tạp và tính năng phong phú khiến việc phân tích cực kỳ khó khăn. Mã độc JSC được sử dụng giúp che giấu hoạt động và vượt qua các hệ thống phòng vệ hiện đại.”
Đọc chi tiết tại đây: https://thehackernews.com/2025/07/hackers-use-facebook-ads-to-spread.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
