Nếu bạn nhận được một liên kết cho một video, ngay cả khi nó có vẻ thú vị, được gửi bởi một người nào đó (hoặc bạn của bạn) trên Facebook Messenger –  thì đừng bấm vào nó ngay lập tức.

Các nhà nghiên cứu bảo mật mạng từ Trend Micro đang cảnh báo người dùng về một tiện ích mở rộng độc hại của Chrome đang được lan truyền qua Facebook Messenger và nhắm tới người sử dụng các nền tảng giao dịch tiền ảo để lấy cắp thông tin đăng nhập tài khoản của họ.

Được gọi là FacexWorm, kỹ thuật tấn công này được sử dụng bởi phần mở rộng độc hại đầu tiên xuất hiện vào tháng 8 năm ngoái, nhưng các nhà nghiên cứu nhận thấy malware này đã trở lại với một số khả năng độc hại mới vào đầu tháng năm nay.

Các khả năng mới bao gồm đánh cắp thông tin tài khoản từ các trang web như Google và các trang web tiền ảo, chuyển hướng nạn nhân đến các trang web lừa đảo tiền ảo, chèn các miner trên trang web để khai thác tiền ảo và chuyển hướng nạn nhân đến liên kết giới thiệu của kẻ tấn công cho các chương trình liên quan đến tiền ảo.

Đây không phải là phần mềm độc hại đầu tiên lạm dụng Facebook Messenger để tự lây lan.

Cuối năm ngoái, các nhà nghiên cứu của Trend Micro đã phát hiện ra một bot khai thác tiền ảo Monero, được gọi là Digmine, lây lan qua Facebook Messenger và nhắm vào các máy tính Windows, cũng như Google Chrome để khai thác tiền ảo.

Malware khai thác tiền ảo mới - FacexWorm đang lan truyền qua Facebook
Malware khai thác tiền ảo mới đang lan truyền qua Facebook

Cũng giống như Digmine, FacexWorm hoạt động bằng cách gửi các liên kết được thiết kế mang tính chất xã hội qua Facebook Messenger tới bạn bè của tài khoản Facebook bị ảnh hưởng để chuyển hướng nạn nhân đến các phiên bản giả mạo của các trang web phát trực tuyến video phổ biến như YouTube.

Cần lưu ý rằng tiện ích FacexWorm chỉ được thiết kế để nhắm tới người dùng Chrome. Nếu phần mềm độc hại phát hiện bất kỳ trình duyệt web nào khác trên máy tính của nạn nhân thì nó sẽ chuyển hướng người dùng đến một quảng cáo trông vô hại.

Cách thức hoạt động của phần mềm độc hại FacexWorm

Nếu liên kết video độc hại được mở bằng trình duyệt Chrome, FacexWorm sẽ chuyển hướng nạn nhân đến trang YouTube giả, nơi người dùng được khuyến khích tải xuống tiện ích mở rộng độc hại của Chrome dưới dạng phần mở rộng codec để tiếp tục phát video.

Sau khi cài đặt, tiện ích FacexWorm Chrome tải xuống nhiều mô-đun hơn từ máy chủ C&C để thực hiện các tác vụ độc hại khác nhau.

Các nhà nghiên cứu cho biết: “FacexWorm là bản sao của một tiện ích mở rộng thông thường của Chrome nhưng được chèn mã ngắn chứa routine chính của nó. FacexWorm tải thêm mã JavaScript từ máy chủ C&C khi trình duyệt được mở”.

“Mỗi khi nạn nhân mở một trang web mới, FacexWorm sẽ truy vấn máy chủ C&C của nó để tìm và lấy một mã JavaScript khác (được lưu trữ trên kho lưu trữ Github) và thực thi hành vi của nó trên trang web đó.”

Vì tiện ích mở rộng mất tất cả các quyền mở rộng tại thời điểm cài đặt nên phần mềm độc hại có thể truy cập hoặc sửa đổi dữ liệu cho bất kỳ trang web nào mà người dùng mở.

Dưới đây tôi đã liệt kê một cách ngắn gọn về những gì phần mềm độc hại FacexWorm có thể thực hiện:

  • Để lây lan sâu hơn, phần mềm độc hại yêu cầu token truy cập OAuth cho tài khoản Facebook của nạn nhân, sử dụng nó sau đó tự động lấy danh sách bạn bè của nạn nhân và gửi liên kết video độc hại, giả mạo đến họ.
  • Khi phần mềm độc hại phát hiện thấy nạn nhân đã mở trang đăng nhập của trang web mục tiêu, nó sẽ đánh cắp thông tin đăng nhập tài khoản người dùng cho Google, MyMonero và Coinhive.
  • FacexWorm cũng đưa miner khai thác tiền ảo vào các trang web được mở bởi nạn nhân, sử dụng sức mạnh CPU của máy tính nạn nhân để khai thác tiền ảo cho kẻ tấn công.
  • FacexWorm thậm chí còn cướp đi các giao dịch liên quan đến tiền ảo của người dùng bằng cách định vị địa chỉ được khóa bởi nạn nhân và thay thế nó bằng địa chỉ do kẻ tấn công cung cấp.
  • Khi phần mềm độc hại phát hiện người dùng đã truy cập một trong 52 nền tảng giao dịch tiền ảo hoặc từ khóa được nhập như “blockchain”, “eth-” hoặc “ethereum” trong URL, FacexWorm sẽ chuyển hướng nạn nhân đến trang web lừa đảo tiền ảo để đánh cắp tiền ảo của người dùng. Các nền tảng được nhắm tới bao gồm Poloniex, HitBTC, Bitfinex, Ethfinex, và Binance, và ví Blockchain.info.
  • Để tránh bị phát hiện hoặc xóa, tiện ích FacexWorm sẽ ngay lập tức đóng tab đã mở khi phát hiện người dùng đang mở trang quản lý tiện ích mở rộng của Chrome.
  • Kẻ tấn công cũng nhận được một khuyến khích giới thiệu mỗi khi nạn nhân đăng ký một tài khoản trên Binance, DigitalOcean, FreeBitco.in, FreeDoge.co.in, hoặc HashFlare.

Malware khai thác tiền ảo mới đang lan truyền qua Facebook

Cho đến nay, các nhà nghiên cứu tại Trend Micro phát hiện FacexWorm đã xâm nhập ít nhất một giao dịch Bitcoin (trị giá 2,49 USD) cho đến ngày 19 tháng 4, nhưng họ không biết số lượng tiền ảo kẻ tấn công kiếm được từ khai thác web độc hại.

Loại tiền ảo được nhắm tới bởi FacexWorm bao gồm Bitcoin (BTC), Bitcoin Vàng (BTG), Bitcoin Tiền mặt (BCH), Dash (DASH), ETH, Ethereum Cổ điển (ETC), Ripple (XRP), Litecoin (LTC), Zcash (ZEC), và Monero (XMR).

Phần mềm độc hại FacexWorm đã được tìm thấy ở Đức, Tunisia, Nhật Bản, Đài Loan, Hàn Quốc và Tây Ban Nha. Nhưng kể từ khi Facebook Messenger được sử dụng trên toàn thế giới, phần mềm độc hại có nhiều khả năng đang lan rộng trên toàn cầu.

Cửa hàng Chrome trực tuyến đã xóa nhiều tiện ích mở rộng độc hại trước khi được các nhà nghiên cứu Trend Micro thông báo, nhưng những kẻ tấn công vẫn tiếp tục tải nó lên cửa hàng.

Các nhà nghiên cứu cho biết Facebook Messenger cũng có thể phát hiện các liên kết độc hại, được thiết kế mang tính chất xã hội và thường xuyên chặn hành vi tuyên truyền của các tài khoản Facebook bị ảnh hưởng.

Vì chiến dịch Facebook Spam khá phổ biến, người dùng nên thận trọng khi nhấp vào liên kết và tệp được cung cấp qua nền tảng trang web truyền thông xã hội.

Bình luận