Rss Feed

Xuất hiện mã độc đào tiền ảo mới lây lan qua Facebook

Đăng lúc: Thứ tư - 09/05/2018 20:53 - Người đăng bài viết: Tạp Chí
Các nhà nghiên cứu bảo mật mạng từ Trend Micro đang cảnh báo người dùng về một tiện ích mở rộng độc hại của Chrome được phát tán qua Facebook Messenger, nhắm tới người sử dụng các sàn giao dịch tiền ảo để lấy cắp thông tin đăng nhập tài khoản.
       Được gọi là FacexWorm, kỹ thuật tấn công này được sử dụng bởi tiện ích mở rộng độc hại đầu tiên xuất hiện vào tháng 8/2017. Đầu năm 2018, nó được phát hiện lây nhiễm trở lại với nhiều tính năng mới, bao gồm: Đánh cắp thông tin tài khoản từ các trang web như Google và các trang web giao dịch tiền ảo; Chuyển hướng nạn nhân đến các trang web giao dịch tiền ảo lừa đảo; Chèn miner trên các trang web để khai thác tiền ảo và chuyển hướng nạn nhân đến liên kết giới thiệu của kẻ tấn công cho các chương trình liên quan đến tiền ảo. 
        Đây không phải là phần mềm độc hại đầu tiên lạm dụng Facebook Messenger để phát tán. Cuối năm 2017, các nhà nghiên cứu của Trend Micro đã phát hiện ra bot Digmine khai thác tiền ảo Monero lây lan qua Facebook Messenger và nhắm vào các máy tính Windows, trình duyệt Google Chrome để khai thác tiền ảo.

 



 
        Cách thức hoạt động của phần mềm độc hại FacexWorm
        Cũng giống như Digmine, FacexWorm hoạt động bằng cách gửi các liên kết được thiết kế mang tính chất xã hội qua Facebook Messenger tới bạn bè của tài khoản Facebook bị ảnh hưởng, để chuyển hướng nạn nhân đến các phiên bản giả mạo của các trang web phát trực tuyến video phổ biến như YouTube.

 

Quá trình lây nhiễm của FacexWorm
 
        Nếu liên kết video độc hại được mở bằng trình duyệt Chrome, FacexWorm sẽ chuyển hướng nạn nhân đến trang YouTube giả. Tại đây, người dùng sẽ được khuyến khích tải xuống tiện ích mở rộng độc hại của Chrome dưới dạng phần mở rộng codec để tiếp tục phát video. Sau khi cài đặt, tiện ích FacexWorm Chrome tải xuống nhiều môđun hơn từ máy chủ C&C để thực hiện các tác vụ độc hại khác nhau.
 

Truy cập giữa FacexWorm và C&C
 
        Sau khi cài đặt tiện ích mở rộng, FacexWorm có thể truy cập hoặc sửa đổi dữ liệu của bất kỳ trang web nào mà người dùng truy cập. Các hành vi mà phần mềm độc hại FacexWorm có thể thực hiện:
        - Yêu cầu token truy cập OAuth cho tài khoản Facebook của nạn nhân, từ đó tự động truy cập danh sách bạn bè của nạn nhân và gửi liên kết video độc hại, giả mạo đến họ. Các hành vi này nhằm phát tán mã độc rộng hơn.
        - Đánh cắp thông tin đăng nhập tài khoản Google, MyMonero và Coinhive.
        - Chèn JavaScript miner để khai thác tiền ảo vào các trang web được nạn nhân truy cập, sử dụng sức mạnh CPU của máy tính nạn nhân để khai thác tiền ảo.
        - Thực hiện Session Hijacking để thực hiện các giao dịch liên quan đến tiền ảo mà người dùng thực hiện.
        - Kiếm tiền từ các chương trình giới thiệu liên quan đến tiền điện tử. 
        - Khi phần mềm độc hại phát hiện người dùng đã truy cập một trong 52 sàn giao dịch tiền ảo, hoặc các từ khóa như “blockchain”, “eth-”, hoặc “ethereum” trong URL, FacexWorm sẽ chuyển hướng nạn nhân đến trang web lừa đảo tiền ảo để đánh cắp tiền ảo của người dùng. Các sàn giao dịch được nhắm tới bao gồm Poloniex, HitBTC, Bitfinex, Ethfinex, Binance và ví Blockchain.info.

 

Cách FacexWorm thêm mã giới thiệu vào các trang web mục tiêu mà người dùng có thể truy cập
 
        FacexWorm thực hiện một cơ chế để ngăn chặn nạn nhân xóa phần mở rộng độc hại khỏi trình duyệt. Nếu FacexWorm phát hiện nạn nhân truy cập trang quản lý tiện ích mở rộng của Chrome, ngay lập tức các tab này sẽ được đóng. Hành vi này từng được sử dụng bởi các tiện ích độc hại khác như botnet DroidClub. 
        Cho đến nay, các nhà nghiên cứu tại Trend Micro phát hiện FacexWorm đã xâm nhập ít nhất một giao dịch Bitcoin (trị giá 2,49 USD). Nhưng không xác định được số lượng tiền ảo kẻ tấn công kiếm được từ việc khai thác web độc hại.
 
Đoạn mã giúp FacexWorm giao tiếp với C&C và đóng trang quản lý tiện ích mở rộng

        FacexWorm nhắm tới các loại tiền ảo gồm: Bitcoin (BTC), Bitcoin Gold (BTG), Bitcoin Cash (BCH), Dash (DASH), ETH, Ethereum Classic (ETC), Ripple (XRP), Litecoin (LTC), Zcash (ZEC) và Monero (XMR).
        FacexWorm đã được tìm thấy ở Đức, Tunisia, Nhật Bản, Đài Loan, Hàn Quốc và Tây Ban Nha. Nhưng bằng hình thức lây nhiễm qua Facebook Messenger, nhiều khả năng nó đã lan rộng trên toàn cầu.
        Phương pháp giảm thiểu
        Kiểm soát từ cửa hàng Chrome trực tuyến: Mặc dù Google đã xóa nhiều tiện ích mở rộng độc hại trước khi được các nhà nghiên cứu Trend Micro thông báo, nhưng những kẻ tấn công vẫn tiếp tục tải nó lên kho ứng dụng. Cần tăng cường kiểm soát các tiện ích trước khi được công bố tại cửa hàng. 
        Các nhà nghiên cứu cũng cho biết, Facebook Messenger cũng có thể phát hiện các liên kết độc hại, được thiết kế mang tính chất xã hội và thường xuyên chặn hành vi phát tán đến các tài khoản Facebook bị ảnh hưởng. Vì chiến dịch Facebook Spam khá phổ biến, người dùng nên thận trọng khi nhấp vào liên kết và tệp được cung cấp qua nền tảng mạng xã hội.
 
Một dấu hiệu nhận biết của FacexWorm
Mã băm file CRX của FacexWorm (SHA-256):
- 008c71429e51ae5163fc914a4f0e7157fc0389020ed0a921fe64540467cbb371
- 3445b059e5e8b1e5a56cc57a38506317bf44035c95a2a053c916ca54017a40e5
- 22a8c09181a9f6e06d102bbb0d5372560cf3a432fe3c68e6554a81e3083fbc4f
- ea5abce0977b31238b715bd08b04808f8ff863134516c085cf5e0403b4268635
- 026742d5eb89338f639d13e543180043973b531b9004a52391b262337dd5df91
Chrome Extension IDs liên quan tới FacexWorm:
- akoefpoebeaikfcpoghppjcnhklffcjm
- ecfpnbgianoaiocjciahnkfognimimhf
- fanjaialdpcmadoodgppaaaldpccaedc
- jolmnflkapibjdpmiiofkopkdgklckll
- kojocamkjcbpcnibahfhomfjnliglfeo
Tên miền lừa đảo liên quan đến FacexWorm’s:
- video-sig[.]blogspot[.]com
- video-goyd[.]blogspot[.]com
- vido[.]vigor[.]design
- dot[.]filmnag[.]com
- filmnag[.]com
Các tên miền C&C liên quan tới FacexWorm:
- dirg[.]me
- seap[.]co
- roes[.]me
- ijocire[.]bid
- pingli[.]bid
- upej[.]date
- jsapi[.]me
- jsdo[.]bid
- uef[.]date
- uto[.]date
- dnseat[.]us
- ikesa[.]date
- yci[.]date

Tác giả bài viết: ​ Khang Trần (Theo Trendmicro)
Nguồn tin: antoanthongtin.vn
Đánh giá bài viết
Tổng số điểm của bài viết là: 0 trong 0 đánh giá
Click để đánh giá bài viết

Ý kiến bạn đọc

 

Văn bản mới

Số: 491/QĐ-TTg
Tên: (Quyết định phê duyệt điều chỉnh chiến lược quốc gia về quản lý tổng hợp chất răn đến năm 2025, tầm nhìn đến năm 2050)

Ngày BH: (06/05/2018)

Số: 1250/QĐ-TTg
Tên: (Quyết định phê duyệt chiến lược quốc gia về đa dạng sinh học đến năm 2020, tầm nhìn đến năm 2030)

Ngày BH: (30/07/2013)

Số: 582/QĐ-TTg
Tên: (Quyết định về việc phê duyệt đề án tăng cường kiểm soát ô nhiễm môi trường do sử dụng túi ni lông khó phân hủy trong sinh hoạt đến năm 2020)

Ngày BH: (10/04/2013)

Số: 25/CT-TTg
Tên: (CHỈ THỊ VỀ MỘT SỐ NHIỆM VỤ, GIẢI PHÁP CẤP BÁCH VỀ BẢO VỆ MÔI TRƯỜNG)

Ngày BH: (30/08/2016)

Số: 991/BGDĐT-QLCL
Tên: (Về việc hướng dẫn thực hiện Quy chế thi THPT quốc gia và xét công nhận tốt nghiệp THPT năm 2018)

Ngày BH: (14/03/2018)

Số: Số: 430/QĐ-BCA-V19
Tên: (Ban hành Kế hoạch thực hiện dân chủ trong Công an nhân dân năm 2018)

Ngày BH: (28/01/2018)

Số: Số: 304/T48
Tên: (V/v khảo sát chất lượng đào tạo của Nhà trường)

Ngày BH: (13/03/2018)

Số: 13/2017/QH14
Tên: (Luật Cảnh vệ)

Ngày BH: (19/06/2017)

Số: Chỉ thị số 13-CT/TW
Tên: (Về tăng cường sự lãnh đạo của đảng đối với công tác quản lý, bảo vệ và phát triển rừng)

Ngày BH: (11/01/2017)

Số: Thông tư 49/2017/TT-BCA
Tên: (Quy định chi tiết chế độ bồi dưỡng giám định tư pháp trong lĩnh vực kỹ thuật hình sự; thành phần, số người thực hiện nhiệm vụ khi giám định đối với trường hợp khám nghiệm tử thi, mổ tử thi và khai quật tử thi)

Ngày BH: (25/10/2017)