Trang chủ Tản mạn Phân tích kỹ thuật mã độc phát tán qua Facebook Messenger

Phân tích kỹ thuật mã độc phát tán qua Facebook Messenger

1. Hiện tượng lây lan

Trong 48h qua, một dòng mã độc mới đang phát tán mạnh mẽ qua Facebook Messenger.

FB Messenger là kênh phát tán của mã độc này

Một file tên “video_{4_chữ_số}.zip được tự động gửi qua giao diện Facebook Messenger, trong file nén đó chứa file thực thi : “video_{random_số}.mp4.exe với icon hình video.

File chứa mã độc

Cách thức lây lan ở đây không hề mới, nhưng cũng như các chiến dịch phát tán qua mạng xã hội, hay các ứng dụng chat phổ biến khác, mã độc lần này có tốc độ lan rộng nhanh nhờ tính kết nối của Facebook và đặc tính tính tò mò, thiếu cảnh giác của phần đông người sử dụng.

Sau khi lây nhiễm được vào máy tính nạn nhân, mã độc ăn cắp tài khoản Facebook, tiếp tục phát tán thông qua Facebook của họ, đồng thời lợi dụng máy tính đó để chạy phần mềm đào tiền ảo.

2. Hành vi của mã độc

Các hành vi chính của mã độc

Người dùng Facebook, sau khi tải file zip về, nếu thực thi file exe (giả mạo mp4) bên trong đó, mã độc sẽ được cài đặt lên máy.

Tải file trên server về và bung ra. Trong đó chứa một Chrome extensions và coinminer

Copy chính nó và ghi key run

Tạo shortcut với tham số load-extension cho Chrome

Chạy chương trình “đào” tiền ảo Monero trên máy bị nhiễm

Extension được load mỗi khi shortcut Chrome đươc mở, thực hiện tải file config từ server, qua đó tiếp tục hành vi phát tán.

Đặc biệt, extension ở đây còn có hành vi ăn cắp tài khoản, mật khẩu Facebook của người dùng, gửi về server của kẻ tấn công:

Đoạn code thực hiện gửi thông tin tài khoản, mật khẩu Facebook về server của hacker

Mở rộng hơn, bằng công nghệ MalwareGraph đã khoang vùng được cả cụm những domain, server liên quan đến kẻ đứng sau chiến dịch tấn công này, những server mà có thể đã, đang và sẽ được sử dụng ở các chiến dịch tấn công khác:

Hạ tầng của kẻ tấn công sử dụng trong nhiều chiến dịch phát tán mã độc khác nhau

Khuyến cáo

Đối với quản trị mạng của tổ chức, doanh nghiệp: Thực hiện block các domain của kẻ tấn công:

  • *.bigih.bid
  • plugin.gepag.pabus.bid
  • app.uye.io
  • won.pe

Đối với người dùng cá nhân:

  • Cảnh giác, không tải, mở các file trong file .zip qua Facebook Messenger trừ khi biết chắc hoặc xác nhận được với người gửi về file này.
  • Đối với những người đã tải và chạy file, (có thể kiểm tra lại trạng thái bị nhiễm bằng cách mở Chrome, nhập vào thanh địa chỉ: chrome://extensions/ và enter để load thử, nếu tab này tự động bị đóng thì nghĩa là máy đã bị nhiễm), tạm thời gỡ bỏ bằng cách: Vào “Start Menu” -> gõ “run” -> nhập %APPDATA% -> Tìm thư mục có tên trùng với tên user trên máy -> Xóa toàn bộ thư mục này -> Khởi động lại máy.

Thư mục lưu file độc

Việc xóa thư mục trên, sẽ xóa các file độc hại ở cuộc tấn công này, bao gồm cả file extension độc, dẫn đến Chrome sẽ báo lỗi nếu mở từ Shortcut, người dùng có thể khắc phục thông báo lỗi này bằng cách: Bấm chuột phải vào Shortcut vẫn dùng để mở Chrome -> Properties -> xóa đoạn “–enable-automation –disable-infobars –load-extension=” trong ô Target -> OK.

Ngoài ra, để gỡ bỏ toàn vẹn hơn, người dùng nên sử dụng một phần mềm diệt virus của hãng lớn. Đến nay hầu hết các phần mềm diệt virus lớn đều đã cập nhật, nhận diện được mã độc này.

Theo CyRadar Team

Huỳnh Mai Anh Kiệthttps://www.mangbinhdinh.vn
Anh là một người đam mê công nghệ. Hiện tại anh là một lập trình viên tại Quy Nhơn.

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây

- Advertisment -
Shopify

BÀI VIẾT MỚI

Dân Anh đốt cột phát sóng 5G vì nghi phát tán virus Corona

Ít nhất ba cột phát sóng 5G vừa bị đốt cháy vì có người tin rằng nó là nguồn phát tán virus corona. Theo BBC,...

Kiểm tra trình duyệt của khách có phải là Safari bằng PHP

Hôm rồi chợt nhận ra điều là Safari của Apple chưa hỗ trợ hiển thị ảnh WebP. Vậy là cái plugin Hura Apps Photos...

GitHub mua lại nền tảng npm

npm là đóng một phần quan trọng trong cộng đồng JavaScript. Cộng đồng npm trong 10 năm qua là sự đóng góp của hàng...

Youtube cho phép quảng cáo trên video có nội dung liên quan đến Covid-19

Trong một bài đăng trên blog, CEO Susan Wojcicki cho biết YouTube sẽ bắt đầu cho phép chạy quảng cáo trên các video thảo...

Kiểm tra khả năng bị lây nhiễm Covid-19 của bạn bằng trí tuệ nhân tạo

Trong bối cảnh Covid-19 đang lan rộng và khả năng lây nhiễm rất cao khi ta vô tình tiếp xúc với các người bị...

BẠN XEM CHƯA

Nỗi buồn chợt nhớ

Có nỗi buồn anh chưa kịp đặt tên Nên trong mớ cứ trở mình thao thức Em lãng mạn gọi đó là hạnh phúc Còn riêng anh...

Firefox 46 có gì mới

Hôm nay Mozilla đã chính thức phát hành Firefox 46. Cùng Mạng Bình Định điểm qua những điểm mới trong Firefox 46. Sử dụng mô-đun...

Hàm tách ID của Video trên Youtube từ URL với ngôn ngữ PHP

Hôm nay làm một dự án liên quan việc lấy ID video trên Youtube. Khách hàng gửi qua 1 danh sách URL các video...

Tự nhiên tài khoản Facebook theo dõi nhiều tài khoản lạ

Hôm nay nổi hứng tự nhiên vào lại xem danh sách những người mình bấm theo dõi (Following) trên Facebook thử như thế nào...

Tạo slide trình chiều hình ảnh bằng ứng dụng MTV từ Zing Me

Có rất nhiều dịch vụ trực tuyến giúp bạn dễ dàng tạo cho mình một trình diễn ảnh tuy nhiên đến với ứng dụng...