Chiến dịch lừa đảo Sniper Dz nhắm vào người dùng MENA qua Facebook và thông báo trình duyệt

Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về hoạt động gian lận nhắm vào người dùng khắp Trung Đông và Bắc Phi bằng cách sử dụng các tài khoản Facebook giả mạo để quảng bá các gói internet và chương trình trợ cấp chính phủ giả. Chiến dịch này sử dụng nền tảng Phishing-as-a-Service Sniper Dz để lừa đảo qua thông báo trình duyệt và các kỹ thuật thao túng lịch sử web.
Phishing Sniper Dz

Các nhà nghiên cứu an ninh mạng vừa tiết lộ chi tiết về một hoạt động gian lận quy mô lớn nhắm vào người dùng tại khu vực Trung Đông và Bắc Phi (MENA). Chiến dịch này sử dụng nhiều tài khoản Facebook giả mạo để mạo danh các chính trị gia, người nổi tiếng và các tổ chức đáng tin cậy.

"Những tài khoản này quảng bá các ưu đãi giả mạo, bao gồm các gói cước internet di động miễn phí, bồi thường tài chính và các chương trình trợ cấp của chính phủ," các nhà phân tích Anna Yurtaeva và Viacheslav Shevchenko của Group-IB cho biết.

Nạn nhân được khuyến khích nhấp vào các liên kết đính kèm để nhận các quyền lợi được quảng cáo, nhưng thực tế họ bị chuyển hướng qua một chuỗi các trang web trung gian, cuối cùng dẫn tới hạ tầng Phishing và trục lợi lưu lượng truy cập (monetization infrastructure).

Nền tảng PhaaS Sniper Dz và các kỹ thuật chiếm đoạt

Công ty an ninh mạng có trụ sở tại Singapore đã liên kết các chiến dịch này với Sniper Dz, một nền tảng Phishing-as-a-Service (PhaaS) trọn gói vừa bị triệt phá vào tháng trước trong một chiến dịch do INTERPOL dẫn đầu. Các phát hiện cho thấy nền tảng này không chỉ dừng lại ở việc đánh cắp thông tin đăng nhập mà còn tạo ra doanh thu bất chính thông qua việc lạm dụng thông báo trình duyệt, đăng ký dịch vụ SMS cao cấp, thực hiện các cuộc gọi tính phí và các vụ lừa đảo đầu tư.

Một "phễu lừa đảo Sniper Dz điển hình" bắt đầu bằng các mồi nhử Social Engineering mang tính bản địa hóa. Những kẻ lừa đảo mạo danh các nhà cung cấp viễn thông nổi tiếng như Algérie Télécom để quảng bá ưu đãi giả, nhằm dẫn dắt người dùng đến các tên miền được lưu trữ trên các dịch vụ "Link in bio". Các dịch vụ này đóng vai trò là lớp trung gian giữa bài đăng trên mạng xã hội và đích đến cuối cùng.

"Thay vì đưa nạn nhân trực tiếp đến một trang web độc hại, chiến dịch trước tiên điều hướng người dùng qua các nền tảng tổng hợp liên kết đáng tin cậy như Linkbio và Linktree," các nhà nghiên cứu của Group-IB cho biết. "Kẻ tấn công tạo ra các trang đích giả mạo trên các tên miền do các dịch vụ này vận hành."

Cơ chế lạm dụng thông báo trình duyệt và khóa VAPID

Cuộc tấn công kết thúc bằng việc điều hướng nạn nhân đến một trang web yêu cầu quyền nhận thông báo trình duyệt bằng cách thúc giục người dùng nhấn "Allow" (Cho phép) để tiếp tục. Ở phía sau, mã được nhúng trong trang web sẽ đăng ký trình duyệt vào một hệ thống thông báo đẩy (push notification) bằng cách sử dụng khóa công khai VAPID (Voluntary Application Server Identification).

Sơ đồ hạ tầng Sniper Dz
Hạ tầng điều hướng và kiếm tiền của Sniper Dz

Group-IB cho biết cùng một khóa VAPID đã được quan sát thấy trong nhiều chiến dịch mạo danh các nhà cung cấp viễn thông tại Algeria và các vụ lừa đảo đầu tư nhắm vào người dùng ở nhiều khu vực khác nhau. Việc tái sử dụng khóa VAPID cho thấy các đối tượng vận hành đang dựa vào một hệ sinh thái thông báo đẩy chung thay vì các hạ tầng độc lập.

Hơn nữa, trang web còn thực hiện kỹ thuật chiếm quyền điều khiển nút quay lại (back button hijacking) bằng cách chèn 10 trạng thái lịch sử giả mạo. Điều này lừa người dùng truy cập vào các trang web quảng cáo không mong muốn hoặc giam cầm họ trong một "nhà tù nút quay lại" nhằm tăng lượt hiển thị quảng cáo hoặc phân phối nội dung độc hại.

Chiến thuật Tab-under và Hệ thống Phân phối Lưu lượng (TDS)

Công ty an ninh mạng lưu ý rằng trang web cũng triển khai kỹ thuật tab-under. Nếu một liên kết mở ra một tab trình duyệt mới, một tập lệnh sẽ âm thầm chuyển hướng tab ban đầu sang một đích đến khác do kẻ tấn công kiểm soát. Điều này cho phép chiến dịch tiếp tục duy trì lưu lượng truy cập ngay cả khi nạn nhân tin rằng họ đã rời khỏi trang web.

Khi người dùng đã đăng ký vào hệ thống thông báo, các cuộc tấn công sẽ tiến sang giai đoạn kiếm tiền. Nạn nhân được dẫn đến một Traffic Distribution System (TDS) để quyết định sẽ hiển thị loại lừa đảo nào dựa trên các yếu tố như loại thiết bị, vị trí và nhà mạng di động. Các hướng đi tiềm năng bao gồm lừa đảo cuộc gọi tính phí, lừa đảo đăng ký SMS cao cấp và lừa đảo đầu tư.

Group-IB kết luận: "Chiến dịch này cho thấy các hoạt động gian lận hiện đại ngày càng phụ thuộc vào việc lạm dụng các công nghệ web hợp pháp thay vì Malware truyền thống. Thay vì lây nhiễm thiết bị, những kẻ vận hành khai thác các nền tảng đáng tin cậy, tính năng trình duyệt và kỹ thuật Social Engineering để dẫn dắt nạn nhân qua một phễu kiếm tiền được thiết kế tinh vi."