WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
.JPG độc hại phát tán mã độc tống tiền qua Facebook Messenger
Các nhà nghiên cứu vừa phát hiện ra cách thức làm rối hình ảnh, có thể là nguyên nhân của chiến dịch lừa đảo lớn gần đây trên Facebook phát tán mã độc tống tiền Locky nguy hiểm.
Các nhà nghiên cứu của Checkpoint chưa công bố chi tiết kỹ thuật vì lỗ hổng vẫn còn ảnh hưởng đến Facebook và LinkedIn, cùng nhiều thuộc tính web khác.
Lỗ hổng được mô tả là ít rủi ro cho những ai am hiểu về công nghệ, nhưng với những người bị lừa tải về và chạy file thực thi không rõ nguồn gốc thì nguy cơ là khá lớn.
Cuộc tấn công có thể phá vỡ kiểm soát an ninh của Facebook.
Trong đoạn video proof-of-concept của các nhà nghiên cứu Checkpoint, kẻ tấn công đang khai thác lỗ hổng bằng cách gửi một ứng dụng HTA HTML qua Facebook Messenger dưới dạng một .JPG. (Hình ảnh dạng SVG JavaScript cũng có thể được sử dụng.) Nạn nhân phải bấm vào file đính kèm, vốn sẽ tạo ra một cửa sổ Windows xác nhận đường dẫn lưu file .HTA được tải về.
[YOUTUBE]https://www.youtube.com/watch?v=sGlrLFo43pY[/YOUTUBE]
Sau đó, nạn nhân phải kích đúp vào file .HTA đã lưu để mở ransomware Locky.
Dù cuộc tấn công không tự động và phá vỡ mô hình an ninh của Facebook, Checkpoint coi đây như một lỗi “cấu hình sai” Facebook.
Facebook chắc chắn sẽ vá lỗ hổng; đồng thời cảnh báo người dùng mở một console javascript trên trình duyệt để chống lại mã độc.
Người dùng mở file hta sẽ bị nhiễm một trong những biến thể ransomware tồi tệ nhất hiện nay, mã hóa tập tin nội bộ, buộc nạn nhân phải hoặc khôi phục bản sao lưu hoặc trả tiền chuộc.
Không có phương pháp giải mã cho Locky, và hầu hết nạn nhân đều thấy các tập tin sao lưu của mình cũng bị xóa.
Các nhà nghiên cứu của Checkpoint chưa công bố chi tiết kỹ thuật vì lỗ hổng vẫn còn ảnh hưởng đến Facebook và LinkedIn, cùng nhiều thuộc tính web khác.
Lỗ hổng được mô tả là ít rủi ro cho những ai am hiểu về công nghệ, nhưng với những người bị lừa tải về và chạy file thực thi không rõ nguồn gốc thì nguy cơ là khá lớn.
Cuộc tấn công có thể phá vỡ kiểm soát an ninh của Facebook.
Trong đoạn video proof-of-concept của các nhà nghiên cứu Checkpoint, kẻ tấn công đang khai thác lỗ hổng bằng cách gửi một ứng dụng HTA HTML qua Facebook Messenger dưới dạng một .JPG. (Hình ảnh dạng SVG JavaScript cũng có thể được sử dụng.) Nạn nhân phải bấm vào file đính kèm, vốn sẽ tạo ra một cửa sổ Windows xác nhận đường dẫn lưu file .HTA được tải về.
[YOUTUBE]https://www.youtube.com/watch?v=sGlrLFo43pY[/YOUTUBE]
Sau đó, nạn nhân phải kích đúp vào file .HTA đã lưu để mở ransomware Locky.
Dù cuộc tấn công không tự động và phá vỡ mô hình an ninh của Facebook, Checkpoint coi đây như một lỗi “cấu hình sai” Facebook.
Facebook chắc chắn sẽ vá lỗ hổng; đồng thời cảnh báo người dùng mở một console javascript trên trình duyệt để chống lại mã độc.
Người dùng mở file hta sẽ bị nhiễm một trong những biến thể ransomware tồi tệ nhất hiện nay, mã hóa tập tin nội bộ, buộc nạn nhân phải hoặc khôi phục bản sao lưu hoặc trả tiền chuộc.
Không có phương pháp giải mã cho Locky, và hầu hết nạn nhân đều thấy các tập tin sao lưu của mình cũng bị xóa.
Theo The Register
Chỉnh sửa lần cuối bởi người điều hành: