Cảnh báo chiến dịch lừa đảo Sniper Dz nhắm vào người dùng khu vực MENA qua Facebook

Các chuyên gia an ninh mạng vừa công bố chi tiết về một chiến dịch lừa đảo quy mô lớn nhắm vào người dùng tại khu vực Trung Đông và Bắc Phi (MENA). Kẻ tấn công sử dụng các tài khoản Facebook giả mạo, đóng vai chính trị gia, người nổi tiếng hoặc các tổ chức uy tín để phát tán các thông tin sai lệch.

Theo các nhà phân tích từ Group-IB, những tài khoản này thường quảng bá các chương trình hấp dẫn như gói cước internet di động miễn phí, hỗ trợ tài chính hoặc các gói trợ cấp chính phủ. Khi nạn nhân nhấp vào các liên kết đính kèm, họ sẽ bị điều hướng qua một chuỗi các trang web trung gian, dẫn đến các hạ tầng phishing và hệ thống kiếm tiền từ lưu lượng truy cập trái phép.

Chiến dịch này được liên kết với Sniper Dz, một nền tảng phishing-as-a-service (PhaaS) đã bị INTERPOL triệt phá vào tháng trước. Dù nền tảng đã bị đóng cửa, các hoạt động lừa đảo vẫn tiếp diễn, không chỉ dừng lại ở việc đánh cắp thông tin đăng nhập mà còn mở rộng sang lạm dụng thông báo trình duyệt, đăng ký dịch vụ SMS trả phí, cuộc gọi cước cao và các chiêu trò lừa đảo đầu tư.

Phương thức tấn công tinh vi

Quy trình lừa đảo của Sniper Dz thường bắt đầu bằng các kỹ thuật social engineering được bản địa hóa. Kẻ tấn công giả mạo các nhà cung cấp dịch vụ viễn thông lớn, sau đó dẫn dụ người dùng qua các dịch vụ “link in bio” như Linktree hoặc Linkbio. Việc sử dụng các nền tảng trung gian uy tín này giúp kẻ tấn công vượt qua các bộ lọc bảo mật ban đầu.

Điểm đáng chú ý trong chiến dịch này là việc lạm dụng quyền thông báo của trình duyệt. Người dùng sẽ bị yêu cầu nhấn “Cho phép” (Allow) để tiếp tục xem nội dung. Thực chất, hành động này cho phép kẻ tấn công đăng ký trình duyệt vào hệ thống thông báo đẩy thông qua khóa công khai VAPID. Việc tái sử dụng cùng một khóa VAPID trên nhiều chiến dịch khác nhau cho thấy các đối tượng này đang vận hành một hệ sinh thái hạ tầng dùng chung.

Chiêu trò “Back-button prison” và Tab-under

Để giữ chân nạn nhân trong hệ sinh thái lừa đảo, kẻ tấn công còn áp dụng các kỹ thuật gây khó chịu như:

• Back button hijacking: Chèn các trạng thái lịch sử giả mạo, khiến người dùng không thể quay lại trang trước hoặc bị mắc kẹt trong các trang quảng cáo độc hại.
• Tab-under: Khi người dùng tương tác với liên kết, một script ẩn sẽ điều hướng tab hiện tại sang trang web của kẻ tấn công, trong khi tab mới vẫn mở ra nội dung mong đợi, khiến nạn nhân khó nhận ra mình đã bị chuyển hướng.

Sau khi người dùng đã bị dẫn dụ vào hệ thống, một hệ thống phân phối lưu lượng (TDS) sẽ tự động xác định thiết bị, vị trí và nhà mạng của nạn nhân để đưa ra kịch bản lừa đảo phù hợp nhất, từ đó tối đa hóa lợi nhuận thông qua các dịch vụ trả phí hoặc lừa đảo đầu tư.

Các chuyên gia nhấn mạnh rằng chiến dịch này là minh chứng cho xu hướng hiện nay: kẻ tấn công ngày càng ít sử dụng malware truyền thống mà thay vào đó là khai thác các công nghệ web hợp pháp, tính năng trình duyệt và kỹ thuật social engineering để dẫn dụ nạn nhân vào các phễu kiếm tiền tinh vi.

Nguồn tham khảo: The Hacker News