Trang chủ Tản mạn Phân tích kỹ thuật mã độc phát tán qua Facebook Messenger

Phân tích kỹ thuật mã độc phát tán qua Facebook Messenger

1. Hiện tượng lây lan

Trong 48h qua, một dòng mã độc mới đang phát tán mạnh mẽ qua Facebook Messenger.

FB Messenger là kênh phát tán của mã độc này

Một file tên “video_{4_chữ_số}.zip được tự động gửi qua giao diện Facebook Messenger, trong file nén đó chứa file thực thi : “video_{random_số}.mp4.exe với icon hình video.

File chứa mã độc

Cách thức lây lan ở đây không hề mới, nhưng cũng như các chiến dịch phát tán qua mạng xã hội, hay các ứng dụng chat phổ biến khác, mã độc lần này có tốc độ lan rộng nhanh nhờ tính kết nối của Facebook và đặc tính tính tò mò, thiếu cảnh giác của phần đông người sử dụng.

Sau khi lây nhiễm được vào máy tính nạn nhân, mã độc ăn cắp tài khoản Facebook, tiếp tục phát tán thông qua Facebook của họ, đồng thời lợi dụng máy tính đó để chạy phần mềm đào tiền ảo.

2. Hành vi của mã độc

Các hành vi chính của mã độc

Người dùng Facebook, sau khi tải file zip về, nếu thực thi file exe (giả mạo mp4) bên trong đó, mã độc sẽ được cài đặt lên máy.

Tải file trên server về và bung ra. Trong đó chứa một Chrome extensions và coinminer

Copy chính nó và ghi key run

Tạo shortcut với tham số load-extension cho Chrome

Chạy chương trình “đào” tiền ảo Monero trên máy bị nhiễm

Extension được load mỗi khi shortcut Chrome đươc mở, thực hiện tải file config từ server, qua đó tiếp tục hành vi phát tán.

Đặc biệt, extension ở đây còn có hành vi ăn cắp tài khoản, mật khẩu Facebook của người dùng, gửi về server của kẻ tấn công:

Đoạn code thực hiện gửi thông tin tài khoản, mật khẩu Facebook về server của hacker

Mở rộng hơn, bằng công nghệ MalwareGraph đã khoang vùng được cả cụm những domain, server liên quan đến kẻ đứng sau chiến dịch tấn công này, những server mà có thể đã, đang và sẽ được sử dụng ở các chiến dịch tấn công khác:

Hạ tầng của kẻ tấn công sử dụng trong nhiều chiến dịch phát tán mã độc khác nhau

Khuyến cáo

Đối với quản trị mạng của tổ chức, doanh nghiệp: Thực hiện block các domain của kẻ tấn công:

  • *.bigih.bid
  • plugin.gepag.pabus.bid
  • app.uye.io
  • won.pe

Đối với người dùng cá nhân:

  • Cảnh giác, không tải, mở các file trong file .zip qua Facebook Messenger trừ khi biết chắc hoặc xác nhận được với người gửi về file này.
  • Đối với những người đã tải và chạy file, (có thể kiểm tra lại trạng thái bị nhiễm bằng cách mở Chrome, nhập vào thanh địa chỉ: chrome://extensions/ và enter để load thử, nếu tab này tự động bị đóng thì nghĩa là máy đã bị nhiễm), tạm thời gỡ bỏ bằng cách: Vào “Start Menu” -> gõ “run” -> nhập %APPDATA% -> Tìm thư mục có tên trùng với tên user trên máy -> Xóa toàn bộ thư mục này -> Khởi động lại máy.

Thư mục lưu file độc

Việc xóa thư mục trên, sẽ xóa các file độc hại ở cuộc tấn công này, bao gồm cả file extension độc, dẫn đến Chrome sẽ báo lỗi nếu mở từ Shortcut, người dùng có thể khắc phục thông báo lỗi này bằng cách: Bấm chuột phải vào Shortcut vẫn dùng để mở Chrome -> Properties -> xóa đoạn “–enable-automation –disable-infobars –load-extension=” trong ô Target -> OK.

Ngoài ra, để gỡ bỏ toàn vẹn hơn, người dùng nên sử dụng một phần mềm diệt virus của hãng lớn. Đến nay hầu hết các phần mềm diệt virus lớn đều đã cập nhật, nhận diện được mã độc này.

Theo CyRadar Team

- Advertisement -
Huỳnh Mai Anh Kiệthttps://anhkiet.biz
Anh là một người đam mê công nghệ. Hiện tại anh là một lập trình viên cho Hura Apps - một startup nhỏ về công nghệ tại Quy Nhơn.

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây

BÀI VIẾT MỚI

Nhận quà từ đối tác công nghệ Recharge

Recharge là một trong những công ty chuyên cung cấp giải pháp bán hàng đăng ký định kỳ (subscription payments) cho các nền tảng...

Hướng dẫn tải video ngắn Facebook Reel miễn phí

Facebook Reels là tính năng video ngắn mới của Facebook. Nếu bạn muốn tải những video ngắn này của mọi người thì bạn có...

Lập Trình Viên 25 Tuổi Kiếm Được $30.000 Mỗi Tháng Từ Các Ứng Dụng Shopify

Mat De Sousa là một doanh nhân Pháp, anh là người đứng sau 2 ứng dụng Shopify là Wide Bundles và WideReview do chính...

Lần đầu nhận quà từ Shopify

Hura Apps là 1 trong những đối tác của Shopify được vinh dự Shopify chọn tham gia chương trình (Huấn luyện Thương mại) Commerce...

Một số ưu đãi của Shopify cho người dùng đăng ký mới

Shopify chỉ cho phép người dùng mới 14 ngày dùng thử miễn phí. Nếu bạn cảm thấy khoảng thời gian này là không đủ...

BẠN XEM CHƯA

Cách tải tập tin torrent trên điện thoại di động và máy tính bảng

Nếu bạn đang tìm cách tải xuống những tập tin có dung lượng lớn thì sẽ không có cách nào tốt hơn là việc...

Sắm gậy selfie cho điện thoại

Hiện nay trên thị trường có khá nhiều loại mẫu mã gậy selfie để giúp người dùng smartphone chụp hình "tự sướng" được góc...

Gà chiếc, vịt cặp

Con dzịt nó kêu "cặp cặp" Nó kêu không hồi không chặp Nó kêu khắp cả dòng sông Kêu đào hoa vang thượng đương chiêu hồng Nguyện sao...

Tìm kiếm trên máy tính dễ dàng hơn với Locate32

Trên Windows cũng cung cấp tính năng hỗ trợ tìm kiếm các tập tin và thư mục được lưu trữ trên ổ đĩa. Tuy...

Hải đăng Phước Mai – Điểm khám phá mới cho khách du lịch khi đến Quy Nhơn

Hải đăng Phước Mai tọa lạc ở chóp mũi bán đảo Phương Mai, thuộc làng chài Hải Minh (tên gọi hành chính là KV...