Người dùng bị lợi dụng đào bitcoin do dính phải mã độc đang được phát tán chóng mặt thông qua Facebook Messenger

By | 9:02 am | 20/12/2017

Gần đây, rất nhiều người dùng facebook nhận được tin nhắn như hình dưới:

Capture

Kẻ tấn công sử dụng kỹ thuật social engineering để lừa nạn nhân nhấp vào liên kết video được gửi từ một trong những người bạn trên Facebook của họ, tin nhắn có dạng: video_”4 số ngẫu nhiên”.zip thông qua Facebook Messenger.

Theo phân tích sơ bộ, mã độc được phát tán là W32.FBCoinMiner.Worm. Mục đích là chiếm quyền điều khiển máy tính nạn nhân, lợi dụng để đào bitcoin, khiến máy tính nạn nhân bị giật lag và thậm chí là không thể sử dụng được.

Phân tích hành vi của mã độc:

Khi nhấp vào, người dùng sẽ được chuyển hướng đến các trang web giả mạo tùy vào trình duyệt và hệ điều hành đang sử dụng.

Đối với Mozilla Firefox, người dùng sẽ được yêu cầu cập nhật Flash Player. Ngược lại, nếu đang sử dụng trình duyệt Chrome, người dùng sẽ được chuyển hướng đến một trang web có giao diện tương tự như YouTube, hiển thị thông báo giả mạo và lừa nạn nhân cài đặt thêm các tiện ích mở rộng độc hại từ Chrome Store.

Mã độc này sẽ chiếm quyền điều khiển của máy tính, đồng thời giúp kẻ tấn công thực hiện đào tiền ảo.

Sau đó mã độc sẽ tiếp tục thực hiện các hành vi:

  • B1: Gửi truy vấn POST tới https://www.facebook.com/v2.8/dialog/oauth/ để lấy Access Token
  • B2: Sử dụng Acccess Token tạo truy vấn GET tới https://graph.facebook.com/ để lấy danh sách bạn bè và trạng thái online
  • B3: Tạo truy vấn GET tới 13.65.88.161 để lấy file độc hại với định dạng video+4 số ngẫu nhiên
  • B4: Tạo truy vấn POST tới https://upload.facebook.com/ajax/mercury/upload.php để tải tập tin đính kèm lên server của Facebook. Lúc này Facebook sẽ trả về tham số file_id
  • B5: Tạo truy vấn POST tới https://www.facebook.com/messaging/send/ để gửi tin nhắn cho bạn bè theo ID người dùng của họ đồng thời trỏ tham số đính kèm là file_id tới giá trị nhận được từ bước 4
  • B6: Tạo truy vấn GET tới 13.65.88.161 với chuỗi truy vấn (query string) là ID người dùng hiện tại, ID người vừa nhận tin nhắn
  • B7: Lặp lại bước 5 và 6 cho tới khi hết danh sách bạn bè của người dùng hiện tại

Khuyến cáo:

  • Tuyệt đối không tải về và mở những tập tin lạ được gửi đến thông qua Facebook Messenger.
  • Nếu có lỡ click và tải về máy tập tin chứa mã độc thì người dùng chỉ cần xóa nó đi. Trong trường hợp người dùng đã tải về tập tin và mở ra xem, hãy nhanh chóng ngắt kết nối với internet và sử dụng một phần mềm diệt virus phiên bản mới nhất.
  • Ngay lập tức đổi mật khẩu cho tài khoản đăng nhập trên trình duyệt của mình nếu đã lỡ mở file nén đính kèm.

Ban chỉ đạo ATTT – VNPT VinaPhone