Phân tích mã độc Javascript Facebook

Malware

Wh------
08/01/2015
41
56 bài viết
Phân tích mã độc Javascript Facebook
Như chúng ta thấy ngày nay hiện tượng Facebook của chúng ta tự động like, share, follow... các FanPage, ảnh, status.... diễn ra rất phổ biến. Nguyên nhân là do chúng ta đã bị nhiễm phải một loại mã độc chạy trên trình duyệt. Để mọi người hiểu rõ hơn về loại mã độc này. Hôm nay mình sẽ phân tích một số kỹ thuật mà loại mã độc này sử dụng.

Giới thiệu qua về mã độc javascript trên Facebook
Mã độc javascript trên Facebook là các đoạn mã kẻ xấu dùng để like, share, follow… một trạng thái, bài viết, trang quảng cáo… hoặc có thể dùng với mục đích ăn cắp tài khoản của người dùng.

Nguyên lí hoạt động của mã độc
Nguyên lí chung để viết một đoạn mã giả mạo một hành vi của người dùng trên facebook là dùng Javascript gửi một gói tin giả mạo lên máy chủ của Facebook. Nội dung của gói tin giả mạo được xem bằng Developers Tools – Network (F12) và gửi thì bằng phương thức XMLHttpRequest của Javascript. Đoạn mã độc này có thể ẩn nấp dưới dạng như lừa người dùng chạy một đoạn Javascript để thay đổi giao diện của facebook, hay cài một Extension (tiện ích) để xem một video…

Thông tin về mẫu phân tích
- File type: Javascript
- Kích thước: 81.7 KB
- Chạy trong Developers Tools – Console

Các hành vi của mẫu:

Mã độc like một số trạng thái, bức ảnh, danh sách…
1.jpg

Hình 1: Hành vi tự động like

Thay đổi giao diện của facebook trong phiên sử dụng hiện tại
2.jpg

Hình 2: Hành vi thay đổi giao diện trang Facebook


Kỹ thuật sử dụng

1. Javascript để like, follow, share…
Đoạn mã trong mẫu thực hiện hành vi like một trang:
3.jpg

Hình 3: Kỹ thuật tự động like FanPage


Đoạn mã trong mẫu thực hiện hành vi like một status, bức ảnh:

4.jpg

Hình 4: Kỹ thuật tự động like status, ảnh...


Đoạn mã lấy danh sách bạn bè:
5.jpg

Hình 5: Kỹ thuật lấy danh sách bạn bè


Đoạn mã theo dõi:
6.jpg

Hình 6: Kỹ thuật Follow


2. Chèn CSS vào trang để thay đổi giao diện hiện tại
7.jpg

Hình 7: Kỹ thuật thay đổi giao diện Facebook


Cách phát hiện

1. Vào Nhật kí hoạt động xem lại các hoạt động: ở đây liệt kê các tất cả các hoạt động, tìm kiếm xem có hoạt động nào bất thường…

8.jpg

Hình 8: kiểm tra nhật ký hoạt động để phát hiện mã độc kịp thời


2. Kiểm tra lại các tiện ích trên trình duyệt: phát hiện các tiện ích trái phép mà chúng ta không cài đặt

9.jpg

Hình 9: Kiểm tra các extension trên trình duyệt


Trên đây là bài phân tích về kỹ thuật tự động like, share, follow... của dòng mã độc sửa dụng javascript trên trình duyệt và cách phát hiện loại mã động này. Bài viết còn nhiều thiếu xót, rất mong nhận được sự góp ý của các bạn.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: dinhlongbk
Re: Phân tích mã độc Javascript Facebook

Cảm ơn bạn, bài viết có tính tham khảo rất hay.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Phân tích mã độc Javascript Facebook

Code ở Hình 3, Hình 4 và Hình 6 chỉ tác dụng trên IE7+, Firefox, Chrome, Opera, Safari !
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Hình minh họa ở trên lỗi rồi....die rồi ạ
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Do trước đây Malware up lên site trung gian nên bị lỗi, bạn bổ sung lại để mọi người tham khảo bài viết tốt hơn.

Thanks!
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
sunny;n54278 đã viết:
Do trước đây Malware up lên site trung gian nên bị lỗi, bạn bổ sung lại để mọi người tham khảo bài viết tốt hơn.

Thanks!
S-Mod lập team viết extension hay addon chống cái này đi, chứ các extension hay addon hiện nay bị tụi nó qua mặt hết rồi, ngay cả avast cũng không thể chống được.
Bạn bè hay người thân thì em đều khuyên là tốt nhất nên sử dụng 2 trình duyệt, 1 cái chỉ để lướt facebook, xem youtube, giao dịch ngân hàng
còn 1 cái thì để google search tìm tài liệu,...
Em cũng khuyên là nên lập thêm 1 tài khoản facebook "giả" đăng nhập ở trình duyệt thứ 2 để những trang yêu cầu hãy "like" hay "share" hay "đăng nhập bằng facebook để down tài liệu" thì tác động nó cũng chỉ đè lên cái fb mình không dùng
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: sunny
Comment
luongtankhang123;n54279 đã viết:
S-Mod lập team viết extension hay addon chống cái này đi, chứ các extension hay addon hiện nay bị tụi nó qua mặt hết rồi, ngay cả avast cũng không thể chống được.
Bạn bè hay người thân thì em đều khuyên là tốt nhất nên sử dụng 2 trình duyệt, 1 cái chỉ để lướt facebook, xem youtube, giao dịch ngân hàng
còn 1 cái thì để google search tìm tài liệu,...
Em cũng khuyên là nên lập thêm 1 tài khoản facebook "giả" đăng nhập ở trình duyệt thứ 2 để những trang yêu cầu hãy "like" hay "share" hay "đăng nhập bằng facebook để down tài liệu" thì tác động nó cũng chỉ đè lên cái fb mình không dùng
luongtankhang123 :

Bạn thử tìm hiểu về "bkav safe facebook" xem, extension cho cả Chrome và FF.

Việc dùng 2 tài khoản Fb cũng bất tiện , vì vẫn là1 người dùng :)) chưa kể phải phân thân cũng không hay lắm.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
sunny;n54281 đã viết:
luongtankhang123 :

Bạn thử tìm hiểu về "bkav safe facebook" xem, extension cho cả Chrome và FF.

Việc dùng 2 tài khoản Fb cũng bất tiện , vì vẫn là1 người dùng :)) chưa kể phải phân thân cũng không hay lắm.
cái extension này không public mà, nó giống avast safe browser, chỉ tích hợp ở bản trả phí
ý em là cái fb giả kia mình cho nó chết ở trình duyệt sử dụng cho việc tìm kiếm thông tin để phòng trường hợp cần gấp 1 tài liệu nào đó mà nó lại bắt đăng nhập bằng facebook, hay muốn lấy 1 mã khuyến mãi nào đó nhưng nó bắt share thông tin khuyến mãi, ngoài ra cái fb giả đó mình chẳng đụng đến để làm gì
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: sunny
Comment
Thanks đã chia sẻ
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên