WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Mã độc đào tiền ảo mới phát tán qua Facebook Messenger
Các nhà nghiên cứu đang cảnh báo người dùng về một tiện ích mở rộng độc hại của Chrome lan truyền qua Facebook Messenger, nhắm mục tiêu đến người dùng của các nền tảng giao dịch tiền mã hóa để ăn cắp thông tin đăng nhập tài khoản.
Được đặt tên FacexWorm, kỹ thuật tấn công của tiện ích mở rộng độc hại này xuất hiện lần đầu vào tháng 8 năm ngoái, nhưng đã có thêm một số khả năng độc hại mới vào đầu tháng này.
Các khả năng mới bao gồm đánh cắp thông tin tài khoản từ các trang web, như Google và các trang web tiền mã hóa, chuyển hướng nạn nhân đến các chiến dịch lừa đảo, tiêm mã độc đào tiền lên các trang web và chuyển hướng nạn nhân đến liên kết của kẻ tấn công về các chương trình liên quan đến tiền mã hóa.
Đây không phải là mã độc đầu tiên lạm dụng Facebook Messenger để phát tán.
Cuối năm ngoái, các nhà nghiên cứu của Trend Micro đã phát hiện một bot khai thác tiền điện tử Monero, được gọi là Digmine, lây lan qua Facebook Messenger và nhắm vào các máy tính Windows, cũng như Google Chrome để khai thác tiền điện tử.
Giống như Digmine, FacexWorm cũng hoạt động bằng cách gửi liên kết qua Facebook Messenger tới bạn bè của tài khoản Facebook bị ảnh hưởng để chuyển hướng nạn nhân đến phiên bản giả mạo của các trang web phát trực tuyến video phổ biến, như YouTube.
Cần lưu ý rằng tiện ích FacexWorm chỉ được thiết kế để nhắm mục tiêu đến người dùng Chrome. Nếu phát hiện bất kỳ trình duyệt web khác trên máy tính của nạn nhân, mã độc sẽ chuyển hướng người dùng đến một quảng cáo vô hại.
FacexWorm hoạt động như thế nào
Nếu liên kết video độc hại được mở bằng trình duyệt Chrome, FacexWorm sẽ chuyển hướng nạn nhân đến trang YouTube giả, tại đó người dùng được khuyến khích tải xuống tiện ích mở rộng độc hại của Chrome dưới dạng phần mở rộng codec để tiếp tục phát video.
Sau khi cài đặt, tiện ích FacexWorm Chrome tải xuống nhiều module hơn từ máy chủ C&C để thực hiện nhiều tác vụ độc hại khác nhau.
"FacexWorm là bản sao của một tiện ích mở rộng Chrome thông thường nhưng được chèn mã chứa nhiệm vụ chính. Nó tải thêm mã JavaScript từ máy chủ C&C khi trình duyệt được mở", các nhà nghiên cứu cho biết.
"Mỗi khi nạn nhân mở một trang web mới, FacexWorm sẽ truy vấn máy chủ C&C để tìm và truy xuất một mã JavaScript khác (được lưu trữ trên Github) và thực thi hành vi trên trang web đó".
Vì tiện ích mở rộng có tất cả các quyền mở rộng tại thời điểm cài đặt, mã độc có thể truy cập hoặc sửa đổi dữ liệu cho bất kỳ trang web mà người dùng mở.
Các nhà nghiên cứu tại Trend Micro phát hiện rằng FacexWorm đã thực hiện được ít nhất một giao dịch Bitcoin (trị giá 2,49 USD) cho đến ngày 19 tháng 4, nhưng họ không biết kẻ tấn công đã kiếm được bao nhiêu tiền từ việc khai thác web độc hại.
Tiền mã hóa mục tiêu của FacexWorm bao gồm Bitcoin (BTC), Bitcoin Gold (BTG), Bitcoin Cash (BCH), Dash (DASH), ETH, Ethereum Classic (ETC), Ripple (XRP), Litecoin (LTC), Zcash (ZEC), và Monero (XMR).
FacexWorm đã được tìm thấy ở Đức, Tunisia, Nhật Bản, Đài Loan, Hàn Quốc và Tây Ban Nha. Nhưng vì Facebook Messenger được sử dụng trên toàn thế giới, mã độc có rất nhiều cơ hội để phát tán toàn cầu.
Chrome Web Store đã xóa nhiều mở rộng độc hại trước khi được các nhà nghiên cứu của Trend Micro thông báo, nhưng kẻ tấn công tiếp tục tải mã độc lên.
Facebook Messenger cũng có thể phát hiện các liên kết độc hại và thường xuyên chặn hành vi phát tán của các tài khoản Facebook bị ảnh hưởng, các nhà nghiên cứu cho biết.
Vì chiến dịch lừa đảo qua Facebook khá phổ biến, người dùng nên thận trọng khi nhấp vào liên kết và tập tin được cung cấp qua g mạng xã hội.
Được đặt tên FacexWorm, kỹ thuật tấn công của tiện ích mở rộng độc hại này xuất hiện lần đầu vào tháng 8 năm ngoái, nhưng đã có thêm một số khả năng độc hại mới vào đầu tháng này.
Các khả năng mới bao gồm đánh cắp thông tin tài khoản từ các trang web, như Google và các trang web tiền mã hóa, chuyển hướng nạn nhân đến các chiến dịch lừa đảo, tiêm mã độc đào tiền lên các trang web và chuyển hướng nạn nhân đến liên kết của kẻ tấn công về các chương trình liên quan đến tiền mã hóa.
Đây không phải là mã độc đầu tiên lạm dụng Facebook Messenger để phát tán.
Cuối năm ngoái, các nhà nghiên cứu của Trend Micro đã phát hiện một bot khai thác tiền điện tử Monero, được gọi là Digmine, lây lan qua Facebook Messenger và nhắm vào các máy tính Windows, cũng như Google Chrome để khai thác tiền điện tử.
Giống như Digmine, FacexWorm cũng hoạt động bằng cách gửi liên kết qua Facebook Messenger tới bạn bè của tài khoản Facebook bị ảnh hưởng để chuyển hướng nạn nhân đến phiên bản giả mạo của các trang web phát trực tuyến video phổ biến, như YouTube.
Cần lưu ý rằng tiện ích FacexWorm chỉ được thiết kế để nhắm mục tiêu đến người dùng Chrome. Nếu phát hiện bất kỳ trình duyệt web khác trên máy tính của nạn nhân, mã độc sẽ chuyển hướng người dùng đến một quảng cáo vô hại.
FacexWorm hoạt động như thế nào
Nếu liên kết video độc hại được mở bằng trình duyệt Chrome, FacexWorm sẽ chuyển hướng nạn nhân đến trang YouTube giả, tại đó người dùng được khuyến khích tải xuống tiện ích mở rộng độc hại của Chrome dưới dạng phần mở rộng codec để tiếp tục phát video.
Sau khi cài đặt, tiện ích FacexWorm Chrome tải xuống nhiều module hơn từ máy chủ C&C để thực hiện nhiều tác vụ độc hại khác nhau.
"FacexWorm là bản sao của một tiện ích mở rộng Chrome thông thường nhưng được chèn mã chứa nhiệm vụ chính. Nó tải thêm mã JavaScript từ máy chủ C&C khi trình duyệt được mở", các nhà nghiên cứu cho biết.
"Mỗi khi nạn nhân mở một trang web mới, FacexWorm sẽ truy vấn máy chủ C&C để tìm và truy xuất một mã JavaScript khác (được lưu trữ trên Github) và thực thi hành vi trên trang web đó".
Vì tiện ích mở rộng có tất cả các quyền mở rộng tại thời điểm cài đặt, mã độc có thể truy cập hoặc sửa đổi dữ liệu cho bất kỳ trang web mà người dùng mở.
Các nhà nghiên cứu tại Trend Micro phát hiện rằng FacexWorm đã thực hiện được ít nhất một giao dịch Bitcoin (trị giá 2,49 USD) cho đến ngày 19 tháng 4, nhưng họ không biết kẻ tấn công đã kiếm được bao nhiêu tiền từ việc khai thác web độc hại.
Tiền mã hóa mục tiêu của FacexWorm bao gồm Bitcoin (BTC), Bitcoin Gold (BTG), Bitcoin Cash (BCH), Dash (DASH), ETH, Ethereum Classic (ETC), Ripple (XRP), Litecoin (LTC), Zcash (ZEC), và Monero (XMR).
FacexWorm đã được tìm thấy ở Đức, Tunisia, Nhật Bản, Đài Loan, Hàn Quốc và Tây Ban Nha. Nhưng vì Facebook Messenger được sử dụng trên toàn thế giới, mã độc có rất nhiều cơ hội để phát tán toàn cầu.
Chrome Web Store đã xóa nhiều mở rộng độc hại trước khi được các nhà nghiên cứu của Trend Micro thông báo, nhưng kẻ tấn công tiếp tục tải mã độc lên.
Facebook Messenger cũng có thể phát hiện các liên kết độc hại và thường xuyên chặn hành vi phát tán của các tài khoản Facebook bị ảnh hưởng, các nhà nghiên cứu cho biết.
Vì chiến dịch lừa đảo qua Facebook khá phổ biến, người dùng nên thận trọng khi nhấp vào liên kết và tập tin được cung cấp qua g mạng xã hội.
Theo The Hacker News