Virus đào tiền ảo mới đang phát tán trên Facebook

By | 2:35 pm | 02/05/2018

facebook-malware-hacking

Hãy cân nhắc kỹ lưỡng trước khi click vào một đường link hoặc video được gửi qua Facebook, kể cả khi trông nó thú vị đến mức nào đi chăng nữa.

Các nhà nghiên cứu an toàn bảo mật tại Trend Micro đang cảnh báo người dùng về một trình tiện ích mở rộng độc hại trên Chrome, được phát tán thông qua Facebook Messenger và nhắm vào người dùng trên các sàn giao dịch tiền ảo để đánh cắp thông tin tài khoản của họ.

Được đặt tên là FacexWorm, kỹ thuật tấn công mà extension độc hại sử dụng xuất hiện lần đầu tiên hồi tháng 08 năm ngoái, tuy nhiên các nhà nghiên cứu nhận thấy rằng mã độc đã đóng gói lại một số tính năng mới vào đầu tháng 04 vừa qua.

Một số tính năng bao gồm đánh cắp tài khoản từ các websites, ví dụ Google hoặc các trang giao dịch tiền ảo, chuyển hướng nạn nhân đến các trang lừa đảo, chèn công cụ đào tiền ảo vào các trang web, và chuyển hướng nạn nhân tới các liên kết liên quan đến tiền ảo của kẻ tấn công.

Đây không phải là mã độc đầu tiên lợi dụng Facebook để tự phát tán chính nó.

Vào cuối năm ngoái, các nhà nghiên cứu tại Trend Micro đã phát hiện một bot đào tiền ảo Monero, được gọi là Digmine, được phát tán qua Facebook Messenger và nhắm vào người dùng Windows, cũng như Google Chrome để đào tiền ảo.

facebook-chrome-malware-hacking

Cũng như Digmine, FacexWorm hoạt động bằng cách gửi các đường dẫn social engineering qua Facebook Messenger cho bạn bè của các tài khoản bị nhiễm để chuyển hướng nạn nhân đến các trang web giả mạo, ví dụ YouTube.

Cần lưu ý rằng, FacexWorm được thiết kế để nhắm đến người dùng Chrome. Nếu người dùng sử dụng trình duyệt khác, nó sẽ chuyển hướng tới một trang quảng cáo vô hại.

FacexWorm hoạt động như thế nào

Nếu đường dẫn video độc hại được mở bằng trình duyệt Chrome, FacexWorm sẽ chuyển hướng người dùng tới một trang YouTube giả mạo, người dùng sẽ được thông báo tải về một extension trên Chrome để tiếp tục mở video.

Sau khi được cài đặt, FacexWorm sẽ tải về thêm một số modules từ máy chủ C&C để thực thi các tiến trình độc hại.

“FacexWorm là bản sao của một extension bình thường nhưng được chèn thêm một số đoạn mã ngắn để thực thi nhiệm vụ chính là tải về các đoạn mã JavaScript từ máy chủ C&C khi mở trình duyệt,” theo các nhà nghiên cứu.

“Mỗi khi người dùng mở một trang web mới, FacexWorm sẽ yêu cầu máy chủ C&C tìm và lấy về một đoạn mã JavaScript (lưu trữ trên Github) và thực thi trên trang web đó.

Do extension sẽ lấy toàn bộ quyền cần thiết khi cài đặt, mã độc có thể truy cập và sửa đổi dữ liệu bất kỳ website nào mà người dùng truy cập.

Dưới đây là danh sách một số hành vi mà FacexWorm có thể thực thi:

  • Để tự phát tán nó giống như worm, mã độc yêu cầu token truy cập OAuth vào tài khoản Facebook của nạn nhân, sau đó tự động lấy danh sách bạn bè và gửi đường dẫn YouTube giả mạo cho họ.
  • Đánh cắp thông tin đăng nhập của người dùng như Google, MyMonero và Coinhive, khi mã độc phát hiện người dùng login vào các trang này.
  • FacexWorm cũng chèn các trình đào tiền ảo vào các trang web mà người dùng truy cập, lợi dụng CPU của nạn nhân để đào tiền ảo cho kẻ tấn công.
  • FacexWorm thậm chí còn chiếm phiên giao dịch tiền ảo của người dùng bằng cách định vị địa chỉ được mã hóa của nạn nhân và thay thế với địa chỉ được cung cấp bởi kẻ tấn công.
  • Khi mã độc phát hiện người dùng truy cập một trong 52 sàn giao dịch tiền ảo hoặc gõ các từ khóa như “blockchain”, “eth-“, hoặc “ethereum”, FacexWorm sẽ chuyển hướng nạn nhân tới các trang web giả mạo để đánh cắp thông tin tài khoản của họ. Một số sàn giao dịch bị nhắm đến bao gồm: Poloniex, HitBTC, Bitfinex, Ethfinex, and Binance, và Blockchain.info.
  • Để tránh bị phát hiện hoặc gỡ bỏ, FacexWorm sẽ đóng các tab vừa được mở ngay khi nó phát hiện người dùng mở trang quản lý extension của Chrome.
  • Kẻ tấn công cũng nhận được thông báo mỗi khi nạn nhân đăng ký tài khoản trên Binance, DigitalOcean, FreeBitco.in, FreeDoge.co.in, hoặc HashFlare.

Đến nay, các nhà nghiên cứu tại Trend Micro mới chỉ phát hiện một giao dịch Bitcoin bị FacexWorm can thiệp, tuy nhiên số tiền thu được từ việc đào các trang web thì chưa có số liệu cụ thể.

Một số đồng tiền mà FacexWorm nhắm đến bao gồm Bitcoin (BTC), Bitcoin Gold (BTG), Bitcoin Cash (BCH), Dash (DASH), ETH, Ethereum Classic (ETC), Ripple (XRP), Litecoin (LTC), Zcash (ZEC), và Monero (XMR).

Hiện tại FacexWorm mới chỉ được tìm thấy ở Đức, Tunisia, Nhật Bản, Đài Loan, Hàn Quốc và Tây Ban Nha. Tuy nhiên do Facebook Messenger được sử dụng trên toàn thế giới, mã độc sẽ có nhiều cơ hội để lây lan trên toàn cầu.

Chrome Web Store đã gỡ bỏ rất nhiều extension độc hại tuy nhiên kẻ tấn công vẫn tiếp tục tải lên cửa hàng.

Facebook Messenger cũng có thể phát hiện các đường dẫn độc hại và block hành vi lây lan của các tài khoản bị ảnh hưởng, các nhà nghiên cứu cho biết.

Người dùng được khuyến cáo nên cân nhắc cẩn thận trước khi click vào các đường dẫn hoặc các file được gửi qua mạng xã hội.

Theo: thehackernews.com