Facebook công bố chi tiết về chiến dịch tấn công nền tảng quảng cáo của hãng

08:44 | 09/10/2020

Đầu tháng 10/2020, Facebook đã phát hành một báo cáo kỹ thuật chi tiết về một chiến dịch tấn công sử dụng mã độc, nhắm mục tiêu vào nền tảng quảng cáo của Facebook trong nhiều năm.

Mã độc trong chiến dịch này được gọi là SilentFade (nghĩa là âm thầm chạy quảng cáo Facebook với mã khai thác), được phát hiện vào cuối năm 2018 và lỗ hổng mà nó khai thác đã được vá ngay sau đó. Facebook đã có hành động pháp lý đối với những kẻ tấn công vào tháng 12/2019.

SilentFade đã khai thác một lỗ hổng phía máy chủ để liên tục chặn thông báo và đảm bảo rằng người dùng bị nhiễm sẽ không phát hiện được các hoạt động đáng ngờ liên quan đến tài khoản của họ. Điều này cho phép SilentFade lạm dụng các tài khoản bị xâm nhập và chạy các quảng cáo độc hại mà nạn nhân không phát hiện ra điều gì.

Mặc dù SilentFade được phát hiện lần đầu tiên vào cuối năm 2018, nhưng nhóm tội phạm mạng đứng sau nó được cho là đã hoạt động từ năm 2016, liên tục thích ứng với các tính năng mới của Facebook và có khả năng mở rộng sang các nền tảng xã hội và dịch vụ web khác.

Mã độc SilentFade lây nhiễm dưới dạng chương trình không mong muốn tiềm ẩn (potentially unwanted program - PUP) bên trong các bản sao vi phạm bản quyền của phần mềm hợp pháp và các họ mã độc khác. Các gói PUP có một thành phần tải (downloader) với chức năng tìm và tải thành phần mã độc độc lập, từ đó duy trì dai dẳng và tải các tệp DLL độc hại xuống thư mục ứng dụng Chrome để thực hiện chiếm quyền điều khiển DLL.

Tiếp theo, mã độc đánh cắp thông tin đăng nhập Facebook từ các trình duyệt Internet, truy xuất siêu dữ liệu về tài khoản Facebook và gửi thông tin đến các máy chủ C&C. Địa chỉ IP của nạn nhân cũng được ghi lại cho các mục đích định vị địa lý.

Facebook giải thích: “Dựa trên việc xem xét dữ liệu do SilentFade thu thập, có khả năng các tài khoản người dùng bị xâm phạm có ít nhất một phương thức thanh toán được liên kết. Sau đó, SilentFade hoặc khách hàng của nó sẽ có thể sử dụng phương thức thanh toán của người dùng bị xâm phạm (thẻ tín dụng, tài khoản ngân hàng hoặc tài khoản PayPal) để chạy quảng cáo độc hại trên Facebook”.

Nếu không có trang Facebook hoặc thông tin thanh toán liên kết nào được liên kết tới tài khoản của người dùng, thì những kẻ tấn công sẽ sử dụng dữ liệu thẻ tín dụng bị đánh cắp để tạo trang Facebook và chạy quảng cáo. Tuy nhiên, theo người đại diện Facebook, không có chi tiết thông tin thanh toán nào của người dùng bị lộ cho kẻ tấn công.

Mã độc còn có chức năng kiểm tra chống máy ảo (anti-VM check) và nhắm mục tiêu vào thông tin đăng nhập và cookie cụ thể của Facebook chỉ được lưu trữ trên máy cục bộ. Nó cũng leo thang đặc quyền truy cập vào Graph API để thu thập thông tin bổ sung về nạn nhân và thực hiện hành động cụ thể để vượt qua các kiểm tra bảo mật mà Facebook sử dụng, chẳng hạn như yêu cầu sự cho phép của người dùng.

Các thông báo cảnh báo đã bị tắt hoàn toàn đối với các tài khoản bị xâm nhập, do đó ngăn người dùng nhận được cảnh báo về hoạt động đáng ngờ đang diễn ra. Cảnh báo đăng nhập và các trang Facebook Business cũng bị chặn.

Sau khi phát hiện hành vi độc hại, Facebook đã vá lỗ hổng xác thực phía máy chủ, hoàn nguyên trạng thái thông báo bị chặn trên tất cả các tài khoản bị ảnh hưởng, buộc phải đặt lại mật khẩu, vô hiệu hóa phiên đăng nhập, thêm nhiều bản sửa lỗi và cơ chế phát hiện, đồng thời hoàn lại tiền cho người dùng bị ảnh hưởng.

Facebook tiến hành điều tra mã độc SilentFade với ​​sự hợp tác từ Radware, Bitdefender, Atlassian/BitBucket và Google/VirusTotal. Đồng thời, vào tháng 12/2019 đã kiện Công ty Quốc tế Trung Quốc ILikeAd Media cùng hai nhân viên của công ty này, đó là Chen Xiao Cong và Huang Tao, đã tạo và vận hành mã độc SilentFade.

Tuy nhiên, nhà phát triển SilentFade đã sửa đổi mã của họ để đảm bảo nó có thể hoạt động ngay cả với các cơ chế mới của Facebook và bắt đầu sử dụng tính năng rối mã (obfuscation) để ngăn chặn phát hiện.

Facebook cũng phát hiện thêm mã độc khác của Trung Quốc nằm trong số các mã độc nhắm mục tiêu vào người dùng Facebook. Hãng cho rằng các cuộc tấn công như vậy đã hoạt động kể từ tháng 6/2020. Một số mã độc được đề cập trong báo cáo được Facebook công bố bao gồm StressPaint, FacebookRobot và Scranos.

“Chúng tôi tin rằng kiểu chiến dịch tấn công này tiếp tục lan rộng vào năm 2019, với sự xuất hiện của hai chủng mã độc mới là Scranos và FacebookRobot, được phát hiện lần đầu tiên vào tháng 4 và tháng 6/2019”, Facebook nhấn mạnh.