Các tên miền mạo danh được sử dụng nhằm tạo lưu lượng truy cập khổng lồ giúp tạo doanh thu quảng cáo cho các trang web của Fangxiao hoặc tăng lượng khách truy cập cho những “khách hàng” đã mua lưu lượng truy cập từ nhóm. Theo một báo cáo chi tiết của Cyjax (công ty tình báo về các mối đe dọa bảo mật kỹ thuật số của Anh), nhóm này đến từ Trung Quốc và hoạt động từ năm 2017, chúng đã hơn 400 thương hiệu nổi tiếng từ lĩnh vực bán lẻ, ngân hàng, du lịch, dược phẩm, vận tải, tài chính và năng lượng. Trong đó bao gồm: Coca Cola, McDonald's, Knorr, Unilever, Shopee, Emirates,… với nhiều trang web giả mạo và có nhiều tùy chọn ngôn ngữ khác nhau. Thông thường, các nạn nhân của Fangxiao khi truy cập vào các trang web giả mạo sẽ được chuyển hướng đến các trang web lây nhiễm Triada hoặc một số phần mềm độc hại khác.
Để tăng lượng truy cập lớn cho khách hàng và các trang web của riêng mình, Fangxiao đăng ký khoảng 300 tên miền mạo danh thương hiệu mới hàng ngày. Kể từ đầu tháng 3/2022, nhóm tin tặc này đã sử dụng ít nhất 24 nghìn tên miền để quảng cáo các giải thưởng giả nhằm đánh lừa người dùng.
Một trong những trang tặng quà giả mạo được Fangxiao xây dựng
Hầu hết các trang web này sử dụng các tên miền cấp cao (Top Level Domain - TLD) ".top", ".cn", ".cyou", ".xyz", ".work" và ".tech". Các trang web được ẩn đằng sau Cloudflare và được đăng ký thông qua GoDaddy, Namecheap và Wix. Người dùng khi truy cập các trang web này thông qua quảng cáo trên thiết bị di động hoặc sau khi nhận được có chứa liên kết, thường sẽ được đưa ra những ưu đãi đặc biệt hoặc thông báo cho người nhận rằng họ đã giành được một giải thưởng nào đó.
Sau khi người dùng truy cập vào các miền giả mạo thì sẽ được chuyển hướng truy cập đến một miền khảo sát. Trong một số trường hợp, việc hoàn thành khảo sát dẫn đến việc tải xuống một ứng dụng mà người dùng được yêu cầu khởi chạy và tiếp tục mở trong ít nhất 30 giây, đủ thời gian để giúp chúng đăng ký người dùng mới dưới sự giới thiệu của Fangxiao.
Biểu đồ chuyển hướng người dùng đến các trang web khảo sát
Các trang đích cũng lưu trữ các quảng cáo từ ylliX mà Google và Facebook đã đánh dấu là "đáng ngờ" khi nhấp vào chúng sẽ dẫn đến một chuỗi chuyển hướng riêng biệt. Đường dẫn chuyển hướng phụ thuộc vào vị trí của người dùng (địa chỉ IP) và tác nhân người dùng, dẫn đến việc tải xuống trojan Triada, Amazon thông qua các liên kết, trang web hẹn hò giả mạo và lừa đảo thanh toán qua SMS.
Chuỗi chuyển hướng người dùng dùng dẫn đến nhiễm mã độc Triada
Một mục đích khác của Fangxiao là cửa hàng Goolge Play với ứng dụng App Booster Lite – RAM Booster, một công cụ tăng cường hiệu suất cho các thiết bị Android với hơn 10 triệu lượt tải xuống. Cyjax cho biết ứng dụng này không có chức năng độc hại, nhưng nó yêu cầu người dùng phê duyệt quyền truy cập vào các quyền cá nhân và chúng sẽ thực hiện số lượng lớn quảng cáo ứng dụng trên mức trung bình thông qua các cửa sổ bật lên và rất khó đóng. Người dùng có thể tìm thấy danh sách đầy đủ các miền do Cyjax tìm thấy để sử dụng trong chiến dịch này của Fangxiao.
Kết luận
Cuộc điều tra của Cyjax mang lại một số thông tin cho thấy Fangxiao là một nhóm tin tặc đến từ Trung Quốc, thông qua việc chúng sử dụng tiếng Trung trong một số bảng điều khiển được hiển thị. Tuy nhiên, ngoài một số địa chỉ email được liên kết với các diễn đàn hack như OGUsers thì không có thêm manh mối nào về danh tính của nhóm tin tặc này. Ngoài ra, hiện tại vẫn chưa biết liệu hoạt động quy mô lớn này sử dụng nhiều trang web giả mạo để thu hút nạn nhân nhằm đánh cắp thông tin và sử dụng vào mục đích xấu hay Fangxiao chỉ đơn thuần sử dụng các trang web đó để kiếm lợi nhuận.
Dương Trường
(theo bleepingcomputer)
09:00 | 21/04/2022
09:00 | 14/04/2023
09:00 | 10/10/2022
15:00 | 04/04/2024
08:00 | 27/07/2022
11:00 | 24/10/2024
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
10:00 | 16/08/2024
Vào tháng 5/2024, các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một mối đe dọa APT mới nhắm vào các thực thể Chính phủ Nga. Được gọi là CloudSorcerer, đây là một công cụ gián điệp mạng tinh vi được sử dụng để theo dõi lén lút, thu thập dữ liệu và đánh cắp thông tin thông qua cơ sở hạ tầng đám mây Microsoft Graph, Yandex Cloud và Dropbox. Phần mềm độc hại này tận dụng các tài nguyên đám mây và GitHub làm máy chủ điều khiển và ra lệnh (C2), truy cập chúng thông qua API bằng mã thông báo xác thực. Bài viết này sẽ tiến hành phân tích và giải mã về công cụ gián điệp mạng này, dựa trên báo cáo mới đây của Kaspersky.
15:00 | 04/08/2024
Báo cáo của hãng Kaspersky được đưa ra tại chương trình “Tập huấn mô phỏng bảo vệ tương tác của Kaspersky (KIPS)” nhằm hỗ trợ doanh nghiệp chủ động ứng phó với các mối đe dọa phức tạp và không ngừng gia tăng trong bối cảnh kỹ thuật số cho thấy số tài khoản lộ lọt do nhiễm mã độc tại Việt Nam trong những năm gần đây gia tăng đột biến, năm 2023 gấp 31 lần so với năm 2020.
09:00 | 02/08/2024
Chỉ vài ngày sau khi một lỗi trong phần mềm CrowdStrike khiến 8,5 triệu máy tính Windows bị sập, người dùng hệ điều hành này lại đang phải đối mặt với một vấn đề mới sau khi cài đặt bản cập nhật bảo mật tháng 7.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
11:00 | 24/10/2024
