18/09/2018, 15:40

Virus khai thác tiền điện tử đang lan truyền qua Facebook Messenger

Nếu bạn nhận được một liên kết nhấp vào xem video, được gửi từ một người lạ hoặc bạn bè của bạn trên Facebook Messenger thì tuyệt đối không bấm vào đó, bởi virus mới đang được phát tán với tốc độ chóng mặt qua hình thức này. Các nhà nghiên cứu bảo mật mạng cảnh báo người dùng về ...

virus messenger

Nếu bạn nhận được một liên kết nhấp vào xem video, được gửi từ một người lạ hoặc bạn bè của bạn trên Facebook Messenger thì tuyệt đối không bấm vào đó, bởi virus mới đang được phát tán với tốc độ chóng mặt qua hình thức này.

Các nhà nghiên cứu bảo mật mạng cảnh báo người dùng về một tiện ích mở rộng độc hại của Chrome đang lan truyền qua Facebook Messenger và nhắm mục tiêu người dùng các nền tảng giao dịch tiền điện tử để lấy cắp thông tin đăng nhập của tài khoản của họ. Được gọi là FacexWorm, kỹ thuật tấn công được sử dụng bởi phần mềm mở rộng độc hại đầu tiên xuất hiện vào tháng 8 năm ngoái. Vào đầu tháng này, các nhà nghiên cứu đã phát hiện thêm nhiều khả năng độc hại mà kẻ xấu có thể lợi dụng tấn công.

HOT: Bùng nổ tấn công lừa đảo 4 tháng đầu năm 2017

Đây không phải là phần mềm độc hại đầu tiên để lạm dụng Facebook Messenger để lây lan chính. Các khả năng khai thái mới bao gồm ăn cắp thông tin tài khoản từ các trang web như Google và các trang web tiền điện tử, chuyển hướng nạn nhân đến lừa đảo tiền điện tử, đẩy các thợ mỏ trên trang web để khai thác tiền điện tử và chuyển hướng nạn nhân đến liên kết giới thiệu của kẻ tấn công cho các chương trình giới thiệu liên quan đến tiền điện tử.

Cách hoạt động của Phần mềm độc hại FacexWorm

Cũng giống như Digmine, FacexWorm hoạt động bằng cách gửi các liên kết được thiết kế xã hội qua Facebook Messenger tới bạn bè của tài khoản Facebook bị ảnh hưởng để chuyển hướng nạn nhân đến các phiên bản giả mạo của các trang web phát trực tuyến video phổ biến, như YouTube.

Cần lưu ý rằng tiện ích FacexWorm chỉ được thiết kế để nhắm mục tiêu người dùng Chrome. Nếu phần mềm độc hại phát hiện bất kỳ trình duyệt web nào khác trên máy tính của nạn nhân, phần mềm độc hại sẽ chuyển hướng người dùng đến một quảng cáo trông vô hại.

Sau khi cài đặt, tiện ích mở rộng FacexWorm Chrome tải xuống nhiều mô-đun hơn từ máy chủ điều khiển và lệnh của nó để thực hiện các tác vụ độc hại khác nhau.

“FacexWorm là một bản sao của một tiện ích mở rộng thông thường của Chrome nhưng được chèn mã ngắn chứa thông lệ chính của nó. Nó tải thêm mã JavaScript từ máy chủ C & C khi trình duyệt được mở”, các nhà nghiên cứu cho biết .

“Mỗi khi nạn nhân mở một trang web mới, FacexWorm sẽ truy vấn máy chủ C & C của nó để tìm và truy xuất một mã JavaScript khác (được lưu trữ trên kho lưu trữ Github) và thực thi hành vi của nó trên trang web đó”.

Vì tiện ích mở rộng mất tất cả các quyền mở rộng tại thời điểm cài đặt, phần mềm độc hại có thể truy cập hoặc sửa đổi dữ liệu cho bất kỳ trang web nào mà người dùng mở.

Dưới đây tôi đã liệt kê một phác thảo ngắn gọn về những gì phần mềm độc hại FacexWorm có thể thực hiện:

  • Để lây lan sâu hơn như sâu, phần mềm độc hại yêu cầu mã thông báo truy cập OAuth cho tài khoản Facebook của nạn nhân, sử dụng nó sau đó tự động lấy danh sách bạn bè của nạn nhân và gửi liên kết video độc hại, giả mạo đó đến họ.
  • Ăn cắp thông tin đăng nhập tài khoản của người dùng cho Google, MyMonero và Coinhive, khi phần mềm độc hại phát hiện thấy nạn nhân đã mở trang đăng nhập của trang web mục tiêu.
  • FacexWorm cũng đưa máy khai thác tiền điện tử vào các trang web được mở bởi nạn nhân, sử dụng sức mạnh CPU của máy tính nạn nhân để khai thác tiền điện tử cho kẻ tấn công.
  • FacexWorm thậm chí còn cướp đi các giao dịch liên quan đến tiền điện tử của người dùng bằng cách định vị địa chỉ được khóa bởi nạn nhân và thay thế nó bằng địa chỉ do kẻ tấn công cung cấp.
  • Khi phần mềm độc hại phát hiện người dùng đã truy cập một trong 52 nền tảng giao dịch tiền điện tử hoặc từ khóa được nhập như “blockchain”, “eth-” hoặc “ethereum” trong URL, FacexWorm sẽ chuyển hướng nạn nhân đến trang web lừa đảo tiền điện tử để đánh cắp kỹ thuật số của người dùng đồng xu. Các nền tảng được nhắm mục tiêu bao gồm Poloniex, HitBTC, Bitfinex, Ethfinex, và Binance, và ví Blockchain.info.
  • Để tránh bị phát hiện hoặc xóa, tiện ích FacexWorm sẽ ngay lập tức đóng tab đã mở khi phát hiện người dùng đang mở trang quản lý tiện ích mở rộng của Chrome.
  • Kẻ tấn công cũng nhận được một khuyến khích giới thiệu mỗi khi nạn nhân đăng ký một tài khoản trên Binance, DigitalOcean, FreeBitco.in, FreeDoge.co.in, hoặc HashFlare.

virus messenger

Các nhà nghiên cứu đã phát hiện rằng FacexWorm đã xâm phạm ít nhất một giao dịch Bitcoin (trị giá 2,49 USD) cho đến ngày 19 tháng 4, nhưng họ không biết số lượng kẻ tấn công kiếm được từ khai thác web độc hại nào.

Cryptocurrencies nhắm mục tiêu bởi FacexWorm bao gồm Bitcoin (BTC), Bitcoin Vàng (BTG), Bitcoin Tiền mặt (BCH), Dash (DASH), ETH, Ethereum Cổ điển (ETC), Ripple (XRP), Litecoin (LTC), Zcash (ZEC), và Monero (XMR).

Phần mềm độc hại FacexWorm đã được tìm thấy ở Đức, Tunisia, Nhật Bản, Đài Loan, Hàn Quốc và Tây Ban Nha. Nhưng kể từ khi Facebook Messenger được sử dụng trên toàn thế giới, có nhiều cơ hội của phần mềm độc hại này được lan truyền trên toàn cầu.

Cửa hàng Chrome trực tuyến đã xóa nhiều tiện ích mở rộng độc hại trước khi được các nhà nghiên cứu Trend Micro thông báo, nhưng những kẻ tấn công tiếp tục tải nó lên cửa hàng.

Facebook Messenger cũng có thể phát hiện các liên kết độc hại, được thiết kế xã hội và thường xuyên chặn hành vi tuyên truyền của các tài khoản Facebook bị ảnh hưởng, các nhà nghiên cứu cho biết.

Vì chiến dịch Facebook Spam khá phổ biến, người dùng nên thận trọng khi nhấp vào liên kết và tệp được cung cấp qua nền tảng trang web truyền thông xã hội.

Muốn biết Facebook đang theo dõi những thông tin nào của bạn? =>> Xem ngay bài viết này nhé

0