15.000 trang TikTok Shop giả dùng AI phát tán mã độc, cướp tiền số

một ngày trướcBài gốc

Trojan là loại phần mềm độc hại được ngụy trang như chương trình hoặc file hợp pháp để đánh lừa người dùng cài đặt hoặc mở nó. Khi đã xâm nhập vào hệ thống, trojan không tự lây lan như vi rút, mà thường mở cửa hậu (backdoor) cho hacker để đánh cắp thông tin (mật khẩu, dữ liệu cá nhân, thông tin tài chính), cài đặt thêm phần mềm độc hại (mã độc) khác, điều khiển máy tính từ xa, phá hoại hoặc chiếm quyền hệ thống.

Tên gọi trojan xuất phát từ câu chuyện trong thần thoại Hy Lạp. Quân Hy Lạp đã dùng một con ngựa gỗ chứa binh lính để bí mật vào thành Troy, tương tự cách trojan ngụy trang để vượt qua sự cảnh giác của người dùng.

CTM360, công ty an ninh mạng nổi tiếng ở Bahrain, cho biết: "Những kẻ tấn công đang khai thác nền tảng thương mại điện tử tích hợp trên ứng dụng TikTok thông qua chiến lược tấn công kép, kết hợp lừa đảo (phishing) và phát tán phần mềm độc hại, để nhắm mục tiêu vào người dùng. Chiến thuật cốt lõi là tạo ra một bản sao giả mạo của TikTok Shop để lừa người dùng, khiến họ nghĩ rằng đang tương tác với trang liên kết hợp pháp hoặc nền tảng chính thức".

Chiến dịch lừa đảo này được CTM360 đặt tên mã là ClickTok, nhấn mạnh chiến lược phân phối đa hướng của tác nhân đe dọa, gồm quảng cáo trên Meta Platforms và các video TikTok do trí tuệ nhân tạo (AI) tạo ra, bắt chước những người có tầm ảnh hưởng hoặc đại sứ thương hiệu chính thức.

Trọng tâm của hoạt động là việc sử dụng các tên miền giả mạo giống với URL hợp pháp của TikTok. Đến nay, đã xác định hơn 15.000 trang web mạo danh như vậy, phần lớn được lưu trữ trên các tên miền như .top, .shop và .icu.

Những tên miền này được thiết kế để chứa các trang đích lừa đảo nhằm đánh cắp thông tin đăng nhập của người dùng hoặc phân phối ứng dụng giả mạo, trong đó cài một biến thể của phần mềm độc hại đa nền tảng mang tên SparkKitty, có khả năng thu thập dữ liệu từ cả thiết bị Android và iOS.

Ngoài ra, một số trang lừa đảo dụ người dùng nạp tiền mã hóa vào các cửa hàng trực tuyến giả bằng cách quảng bá sản phẩm giả hoặc giảm giá sâu. CTM360 cho biết đã xác định không dưới 5.000 URL được thiết lập với mục đích phát tán ứng dụng chứa phần mềm độc hại, được quảng bá dưới tên TikTok Shop.

“Chiến dịch này bắt chước hoạt động của TikTok Shop thật thông qua quảng cáo giả, hồ sơ giả và nội dung do AI tạo ra, lừa người dùng tham gia để phát tán phần mềm độc hại. Quảng cáo giả được lan truyền rộng rãi trên Facebook và TikTok, với video do AI tạo ra bắt chước các chương trình khuyến mãi thật nhằm thu hút người dùng bằng các ưu đãi giảm giá mạnh”, CTM36 cho hay.

CTM360 vừa vạch trần chiến dịch quy mô lớn nhắm vào người dùng TikTok Shop toàn cầu - Ảnh: Internet

Ba mục tiêu chính

Kế hoạch lừa đảo đó được vận hành với ba mục tiêu chính, dù mục tiêu cuối cùng vẫn là thu lợi tài chính, bất kể chiến lược kiếm tiền số phi pháp nào được áp dụng:

1. Lừa người mua và những người bán tham gia chương trình liên kết (nhà sáng tạo nội dung quảng bá sản phẩm để nhận hoa hồng từ các đơn hàng qua liên kết giới thiệu) bằng các sản phẩm giả, giảm giá và yêu cầu thanh toán bằng tiền điện tử.

2. Thuyết phục người tham gia chương trình liên kết nạp tiền vào ví điện tử giả trong trang web, hứa hẹn sẽ nhận hoa hồng hoặc thưởng rút tiền trong tương lai, nhưng thực tế không bao giờ xảy ra.

3. Sử dụng các trang đăng nhập TikTok Shop giả để đánh cắp thông tin đăng nhập hoặc yêu cầu người dùng tải về ứng dụng TikTok nhiễm trojan.

Sau khi được cài đặt, ứng dụng TikTok độc hại này sẽ yêu cầu nạn nhân nhập thông tin đăng nhập bằng tài khoản email. Tuy nhiên, hành động đó sẽ liên tục thất bại và đây là nỗ lực cố ý của những kẻ tấn công để nạn nhân đưa ra một phương án đăng nhập thay thế bằng tài khoản Google.

Cách tiếp cận này có khả năng nhằm mục đích bỏ qua các quy trình xác thực truyền thống và sử dụng trái phép mã phiên (session token) được tạo bằng phương thức OAuth để truy cập trái phép mà không cần xác minh email trong ứng dụng.

1. Session token (mã phiên) là chuỗi ký tự duy nhất mà máy chủ tạo ra và gửi cho người dùng sau khi họ đăng nhập hoặc bắt đầu một phiên hoạt động trên một ứng dụng/web.

Mục đích chính của session token:

- Nhận diện và ghi nhớ người dùng trong suốt phiên hoạt động, thay vì yêu cầu nhập lại mật khẩu cho mỗi thao tác.

- Duy trì trạng thái đăng nhập giữa các lần gửi yêu cầu tới máy chủ.

2. OAuth (Open Authorization) là giao thức ủy quyền mở cho phép một ứng dụng hoặc dịch vụ truy cập tài nguyên của bạn trên dịch vụ khác mà không cần chia sẻ mật khẩu.

Nói đơn giản, OAuth giúp bạn đăng nhập hoặc cho phép truy cập vào dữ liệu cá nhân từ dịch vụ khác thông qua một thẻ truy cập, thay vì cung cấp trực tiếp thông tin đăng nhập.

Ví dụ quen thuộc: Bạn đăng nhập vào ứng dụng bằng nút Sign in with Google hoặc Continue with Facebook. Ứng dụng này sẽ được Google/Facebook cấp quyền truy cập một phần thông tin (ví dụ tên, email) theo sự đồng ý từ bạn, nhưng không bao giờ thấy mật khẩu của bạn.

Nếu đã đăng nhập và cố gắng truy cập mục TikTok Shop, nạn nhân sẽ bị chuyển hướng đến một trang đăng nhập giả yêu cầu cung cấp thông tin tài khoản.

Bên trong ứng dụng TikTok giả còn tích hợp SparkKitty, phần mềm độc hại có khả năng nhận dạng thiết bị sử dụng kỹ thuật nhận dạng ký tự quang học (OCR) để phân tích ảnh chụp màn hình trong thư viện ảnh của người dùng nhằm tìm cụm từ khôi phục (seed phrase) ví tiền điện tử, sau đó gửi chúng tới máy chủ do kẻ tấn công kiểm soát.

Seed phrase là một chuỗi các từ ngẫu nhiên, thường gồm 12 hoặc 24 từ, được tạo ra khi bạn thiết lập ví tiền điện tử mới.

Chiến dịch lừa đảo CyberHeist

Tiết lộ nêu trên xuất hiện cùng lúc CTM36 cũng mô tả chiến dịch lừa đảo khác có tên CyberHeist Phish, sử dụng Google Ads và hàng nghìn liên kết giả để đánh lừa các nạn nhân đang tìm kiếm trang web ngân hàng trực tuyến của doanh nghiệp, chuyển hướng họ tới các trang trông vô hại nhưng được thiết kế bắt chước cổng đăng nhập của ngân hàng nhằm đánh cắp thông tin đăng nhập.

“Chiến dịch lừa đảo này đặc biệt tinh vi nhờ tính chất né tránh, chọn lọc và khả năng tương tác trực tiếp theo thời gian thực của kẻ tấn công với mục tiêu để thu thập mã xác thực hai yếu tố ở từng bước đăng nhập, tạo tài khoản người thụ hưởng và chuyển tiền”, CTM360 thông báo.

Những tháng gần đây, các chiến dịch lừa đảo đã nhắm vào người dùng Meta Business Suite trong chiến dịch Meta Mirage, sử dụng các email cảnh báo vi phạm chính sách giả, thông báo hạn chế tài khoản quảng cáo và yêu cầu xác minh giả mạo được gửi qua email và tin nhắn trực tiếp, nhằm dẫn nạn nhân tới các trang thu thập thông tin đăng nhập và cookies, được lưu trữ trên Vercel, GitHub Pages, Netlify và Firebase.

Vercel, GitHub Pages, Netlify và Firebase đều là các nền tảng đám mây được nhà phát triển sử dụng để triển khai và lưu trữ những ứng dụng web. Mỗi nền tảng có những đặc điểm và mục đích sử dụng riêng, nhưng tất cả đều giúp đơn giản hóa quy trình phát triển và đưa sản phẩm lên mạng một cách nhanh chóng.

Meta Business Suite là công cụ miễn phí được tích hợp trong hệ sinh thái của Meta Platforms, giúp các doanh nghiệp quản lý hiệu quả hoạt động kinh doanh của mình trên Facebook và Instagram từ một nơi duy nhất. Thay vì phải chuyển đổi qua lại giữa các ứng dụng Facebook và Instagram, Meta Business Suite tập hợp tất cả công cụ cần thiết vào một bảng điều khiển duy nhất. Điều này giúp bạn tiết kiệm thời gian, công sức và tối ưu hóa quy trình làm việc.

“Chiến dịch này tập trung vào việc xâm nhập các tài sản kinh doanh có giá trị cao, gồm tài khoản quảng cáo, trang thương hiệu đã xác minh và quyền truy cập cấp quản trị viên trong nền tảng”, CTM360 tiết lộ thêm.

Khuyến cáo từ FinCEN

Những diễn biến nêu trên trùng hợp với một khuyến cáo từ Mạng lưới thực thi tội phạm tài chính (FinCEN) thuộc Bộ Tài chính Mỹ. FinCEN kêu gọi các tổ chức tài chính cảnh giác trong việc phát hiện và báo cáo hoạt động đáng ngờ liên quan đến các ki-ốt CVC (tiền số có thể chuyển đổi) nhằm chống lại gian lận và các hoạt động phi pháp khác.

Bitcoin, Ethereum hay USDT là CVC - tiền số có thể chuyển đổi sang tiền pháp định như USD, EUR, VND...

Ki-ốt là máy giao dịch tự động (giống ATM) cho phép người dùng mua hoặc bán tiền số trực tiếp bằng tiền mặt hoặc thẻ.

Ki-ốt CVC là loại máy giống ATM nhưng dùng để đổi tiền số sang tiền mặt hoặc ngược lại.

“Tội phạm không ngừng nỗ lực đánh cắp tiền của nạn nhân và học cách tận dụng các công nghệ mới như ki-ốt CVC. Mỹ cam kết bảo vệ hệ sinh thái tài sản số cho các doanh nghiệp và người tiêu dùng hợp pháp, với các tổ chức tài chính là đối tác quan trọng trong nỗ lực này”, bà Andrea Gacki (Giám đốc FinCEN) tuyên bố.

Sơn Vân

Nguồn Một Thế Giới : https://1thegioi.vn/15-000-trang-tiktok-shop-gia-dung-ai-phat-tan-ma-doc-cuop-tien-so-235801.html