Tiện ích mở rộng Madgicx Plus và SocialMetrics giả mạo đang chiếm đoạt tài khoản Meta Business

Theo Công ty an ninh mạng Bitdefender, chiến dịch mới lợi dụng quảng cáo độc hại (malvertising) này tập trung phát tán tiện ích giả mạo “Meta Verified” mang tên SocialMetrics Pro, hứa hẹn giúp người dùng mở khóa dấu tích xanh cho tài khoản Facebook và Instagram. Ít nhất 37 quảng cáo độc hại đã được phát hiện phát tán tiện ích nói trên.

“Các quảng cáo độc hại đi kèm video hướng dẫn tải xuống và cài đặt tiện ích trình duyệt, được quảng bá là có khả năng mở khóa dấu tích xanh hoặc các tính năng đặc biệt trên Facebook,” hãng bảo mật Romania cho biết.

Tiện ích mở rộng Madgicx Plus và SocialMetrics giả mạo đang chiếm đoạt tài khoản Facebook/Meta Business

Thực tế, tiện ích này, được lưu trữ trên dịch vụ đám mây hợp pháp Box có khả năng thu thập cookie phiên từ Facebook và gửi về một bot Telegram do kẻ tấn công kiểm soát. Nó cũng có thể thu thập địa chỉ IP của nạn nhân thông qua truy vấn tới ipinfo[.]io/json.

Một số biến thể còn sử dụng cookie bị đánh cắp để tương tác với Facebook Graph API, nhiều khả năng nhằm lấy thêm dữ liệu liên quan đến tài khoản. Trong quá khứ, mã độc như NodeStealer đã từng khai thác Graph API để thu thập thông tin ngân sách quảng cáo.

Mục tiêu cuối cùng của chiến dịch là bán các tài khoản Business/Ads giá trị trên chợ ngầm hoặc tận dụng để triển khai thêm các chiến dịch quảng cáo độc hại, tạo ra vòng luẩn quẩn chiếm đoạt tài khoản ngày càng mở rộng.

Theo Bitdefender, chiến dịch này mang nhiều “dấu vết” gắn liền với các nhóm tin tặc nói tiếng Việt, vốn thường sử dụng nhiều biến thể mã độc đánh cắp dữ liệu để chiếm quyền truy cập tài khoản Facebook. Giả thuyết này càng được củng cố bởi việc video hướng dẫn sử dụng tiếng Việt cũng như các chú thích trong mã nguồn.

“Bằng cách lợi dụng nền tảng hợp pháp, kẻ tấn công có thể tạo hàng loạt liên kết, tự động nhúng vào video hướng dẫn và liên tục làm mới chiến dịch. Điều này phù hợp với xu hướng ‘công nghiệp hóa’ quảng cáo độc hại, khi mọi thứ từ hình ảnh quảng cáo tới video hướng dẫn đều được sản xuất hàng loạt,” Bitdefender nhấn mạnh.

Cùng với đó, một chiến dịch khác cũng được phát hiện nhắm vào nhà quảng cáo Meta với tiện ích Chrome giả mạo, phân phối qua các website giả danh công cụ tối ưu quảng cáo bằng AI mang tên Madgicx Plus.

Theo Công ty an ninh mạng Cybereason, “tiện ích được quảng bá như công cụ quản lý chiến dịch và tăng ROI nhờ AI, nhưng thực chất lại chứa các chức năng nguy hiểm có khả năng chiếm đoạt phiên làm việc, đánh cắp thông tin đăng nhập và xâm nhập tài khoản Meta Business.”

Các tiện ích này được quảng cáo như công cụ hỗ trợ năng suất, song lại hoạt động như mã độc hai chức năng: vừa đánh cắp thông tin đăng nhập, token phiên, vừa cho phép chiếm quyền điều khiển tài khoản.

Một số tiện ích, tính đến thời điểm được báo cáo, vẫn còn khả dụng trên Chrome Web Store, gồm:

1. Madgicx Plus - The SuperApp for Meta Advertisers (ID: eoalbaojjblgndkffciljmiddhgjdldh) – phát hành tháng 2/2025 (28 lượt cài).

2. Meta Ads SuperTool (ID: cpigbbjhchinhpamicodkkcpihjjjlia) – phát hành tháng 3/2025 (11 lượt cài).

3. Madgicx X Ads - The SuperApp for Meta Advertisers (ID: cpigbbjhchinhpamicodkkcpihjjjlia) – phát hành tháng 3/2025 (3 lượt cài).

Sau khi cài đặt, tiện ích có quyền truy cập toàn bộ website mà người dùng ghé thăm, cho phép kẻ tấn công chèn mã độc, theo dõi hoạt động duyệt web, thu thập dữ liệu form và thông tin nhạy cảm. Nó cũng yêu cầu người dùng liên kết tài khoản Facebook và Google để sử dụng dịch vụ, trong khi bí mật thu thập dữ liệu cá nhân ở chế độ nền.

Ngoài ra, các tiện ích này còn hoạt động tương tự SocialMetrics giả mạo khi tận dụng thông tin đăng nhập bị đánh cắp để tương tác với Facebook Graph API.

Cybereason nhận định: “Chiến lược của kẻ tấn công là theo từng giai đoạn: đầu tiên chiếm đoạt dữ liệu định danh Google, sau đó mở rộng sang Facebook để gia tăng cơ hội chiếm quyền tài khoản quảng cáo có giá trị.”

Duy Trinh (theo The Hacker News)