WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Hãy coi chừng virus Windows/MacOS/Linux lây lan qua Facebook Messenger
Nếu bạn nhận được tin nhắn trên Facebook kèm một link video được gửi từ bất kỳ ai, ngay cả bạn bè – hãy đừng nhấp chuột vào đó.
Các nhà nghiên cứu an ninh mạng tại Kaspersky Lab đã phát hiện một chiến dịch tấn công đa nền tảng đang diễn ra trên Facebook Messenger, nơi người dùng nhận được một link video, chuyển hướng người dùng đến một trang web giả mạo, lừa họ cài đặt phần mềm độc hại.
Mặc dù cách lây lan của phần mềm độc hại này vẫn chưa rõ ràng, các nhà nghiên cứu tin rằng spammer đang sử dụng các tài khoản bị chiếm quyền, các trình duyệt bị tấn công, hoặc các kỹ thuật clickjacking để phát tán link độc hại.
Hacker sử dụng kỹ thuật lừa đảo để lừa người dùng nhấp vào liên kết video, được hiểu là gửi từ những người bạn trên Facebook của họ, với thông báo "<tên bạn bè của bạn> Video", ở sau là một liên kết bit.ly, như ảnh dưới.
URL chuyển hướng nạn nhân tới Google doc, hiển thị hình thu nhỏ của video được tạo động, trông giống như một bộ phim có thể phát được, dựa trên hình ảnh của người gửi, nếu được nhấp chuột, sẽ chuyển hướng người dùng tới một trang đích được tùy chỉnh dựa trên trình duyệt và hệ điều hành của nạn nhân.
Ví dụ: người dùng Mozilla Firefox trên Windows được chuyển hướng đến một trang web hiển thị thông báo Cập nhật Flash Player giả mạo và sau đó cung cấp tệp thực thi Windows, được đánh dấu như một phần mềm quảng cáo.
Người dùng Google Chrome được chuyển hướng đến một trang web giả mạo YouTube với logo tương tự của YouTube, hiển thị thông báo lỗi giả mạo, lừa người tải xuống tiện ích mở rộng Chrome độc hại từ Google Web Store.
Tiện ích mở rộng thực chất là một trình downloader tải tập tin theo lựa chọn của hacker xuống máy tính của nạn nhân.
David Jacoby, chuyên gia nghiên cứu an ninh mạng của Kaspersky Lab, cho hay: "Tại thời điểm viết bài, tập tin cần được tải xuống không có sẵn”.
"Một phát hiện thú vị là tiện ích mở rộng của Chrome có các tệp nhật ký từ các nhà phát triển hiển thị tên người dùng. Không rõ liệu nó có liên quan gì đến chiến dịch này hay không, nhưng nó vẫn là một thông tin thú vị."
Người sử dụng Apple Mac OS X Safari được chuyển hướng đến trên một trang web tương tự như khi sử dụng Firefox, nhưng trang này đã được tùy biến cho người dùng MacOS với bản cập nhật giả mạo cho Flash Media Player, nếu được nhấp vào, sẽ tải xuống tệp tin .dmg thực thi OSX. Đây cũng là một phần mềm quảng cáo.
Tương tự, trong trường hợp của Linux, người dùng được chuyển hướng đến trang đích khác được thiết kế cho người dùng Linux.
Hacker đứng đằng sau chiến dịch tấn công này thực chất không dùng bất kỳ bộ khai thác hay trojan nào để lây nhiễm người sử dụng của tất cả các nền tảng, mà bằng phần mềm quảng cáo để kiếm được nhiều tiền nhờ doanh thu từ quảng cáo.
Các chiến dịch Spam trên Facebook khá phổ biến. Cách đây vài năm, các nhà nghiên cứu đã phát hiện ra các tội phạm không gian mạng sử dụng các tệp tin hình ảnh .JPG để che dấu phần mềm độc hại ctừ đó lây nhiễm cho người dùng Facebook bằng các biến thể Locky, mã hóa tất cả các tệp tin trên máy tính bị nhiễm virus cho đến khi trả tiền chuộc.
Để an toàn, người dùng không xem hình ảnh hoặc liên kết video được gửi bởi bất cứ ai, ngay cả bạn bè, mà không xác nhận với họ đồng thời luôn cập nhật phần mềm diệt virus cho thiết bị.
Mặc dù cách lây lan của phần mềm độc hại này vẫn chưa rõ ràng, các nhà nghiên cứu tin rằng spammer đang sử dụng các tài khoản bị chiếm quyền, các trình duyệt bị tấn công, hoặc các kỹ thuật clickjacking để phát tán link độc hại.
Ví dụ: người dùng Mozilla Firefox trên Windows được chuyển hướng đến một trang web hiển thị thông báo Cập nhật Flash Player giả mạo và sau đó cung cấp tệp thực thi Windows, được đánh dấu như một phần mềm quảng cáo.
David Jacoby, chuyên gia nghiên cứu an ninh mạng của Kaspersky Lab, cho hay: "Tại thời điểm viết bài, tập tin cần được tải xuống không có sẵn”.
"Một phát hiện thú vị là tiện ích mở rộng của Chrome có các tệp nhật ký từ các nhà phát triển hiển thị tên người dùng. Không rõ liệu nó có liên quan gì đến chiến dịch này hay không, nhưng nó vẫn là một thông tin thú vị."
Người sử dụng Apple Mac OS X Safari được chuyển hướng đến trên một trang web tương tự như khi sử dụng Firefox, nhưng trang này đã được tùy biến cho người dùng MacOS với bản cập nhật giả mạo cho Flash Media Player, nếu được nhấp vào, sẽ tải xuống tệp tin .dmg thực thi OSX. Đây cũng là một phần mềm quảng cáo.
Tương tự, trong trường hợp của Linux, người dùng được chuyển hướng đến trang đích khác được thiết kế cho người dùng Linux.
Hacker đứng đằng sau chiến dịch tấn công này thực chất không dùng bất kỳ bộ khai thác hay trojan nào để lây nhiễm người sử dụng của tất cả các nền tảng, mà bằng phần mềm quảng cáo để kiếm được nhiều tiền nhờ doanh thu từ quảng cáo.
Các chiến dịch Spam trên Facebook khá phổ biến. Cách đây vài năm, các nhà nghiên cứu đã phát hiện ra các tội phạm không gian mạng sử dụng các tệp tin hình ảnh .JPG để che dấu phần mềm độc hại ctừ đó lây nhiễm cho người dùng Facebook bằng các biến thể Locky, mã hóa tất cả các tệp tin trên máy tính bị nhiễm virus cho đến khi trả tiền chuộc.
Để an toàn, người dùng không xem hình ảnh hoặc liên kết video được gửi bởi bất cứ ai, ngay cả bạn bè, mà không xác nhận với họ đồng thời luôn cập nhật phần mềm diệt virus cho thiết bị.
Nguồn: The Hacker News
