Tấn công lừa đảo sử dụng Facebook để phát tán mã độc trong tháng 6/2016

  • 12/12/2016
  • 06:58

Mạng Facebook ngày một phát triển tại Việt Nam và đang trở thành công cụ hiệu quả để phát tán các mã độc và tấn công lừa đảo. Vừa qua, một chiến dịch tấn công lừa đảo thông qua mạng xã hội Facebook đã bị phát hiện bởi các Công ty bảo mật trên thế giới. Ngay sau đó cuộc tấn công đã lan sang nhiều quốc gia khác.

Hình thức lây nhiễm của mã độc này trên mạng xã hội Facebook là sử dụng chức năng “nhắc đến”. Bằng cách tạo ra 1 thông báo giả đến người dùng rằng đang có bạn bè của mình nhắc đến trong 1 bình luận, mã độc tìm cách lừa người dùng truy cập vào 1 đường dẫn chứa mã độc này.

Khi nhấp vào thông báo, người dùng sẽ được chuyển hướng đến 1 bài viết trống chứa đường dẫn đến Google Docs. Đường dẫn này sẽ tải về máy người dùng 1 file có tên comment_27734045.jse, đây là một mẫu mã độc Trojan Downloader.

Bài viết Facebook chứa đường dẫn tải về mã độc (Hình ảnh từ cuộc tấn công được ghi nhận tại Israel)

Mã độc jse sẽ tiếp tục được khởi chạy và tải về những tập tin thực thi được viết bằng ngôn ngữ AutoIt. Xem thêm mã nguồn tập tin AutoIt tại: http://pastebin.com/k8m0QP1p

Một đoạn mã trong file jse cho thấy các hàm hệ thống được gọi và địa chỉ của các máy chủ C&C

Đoạn mã trong file jse tạo ra thư mục giả mạo Mozila chứa các mã độc hại được tải về

Mã độc AutoIt sau đó được thực thi sẽ tạo ra một shortcut của trình duyệt giả mạo trên màn hình desktop, xoá bỏ các shortcut của trình duyệt thật, thoát trình duyệt hiện tại. Khi người dùng đã bị lừa để nhấn vào những shortcut giả mạo này, trình duyệt giả mạo sẽ yêu cầu người dùng khôi phục lại phiên làm việc trước đó do đã thoát trình duyệt không đúng quy cách trước đó.

Màn hình của trình duyệt giả mạo

Ngay khi người dùng chọn khôi phục lại phiên làm việc, trình duyệt giả mạo sẽ ngay lập tức mở ra trang facebook ở trạng thái chưa đăng nhập để yêu cầu người dùng đăng nhập. Lúc này, nếu người dùng đăng nhập ở trình duyệt giả mạo này, các máy chủ C&C sẽ ra lệnh cho trình duyệt tạo ra tiếp tục hàng loạt thông báo giả mạo khác đến danh sách bạn bè của người dùng.
Mã độc được phát hiện trong chiến dịch tấn công lần này là một dòng mã độc cũ đã từng được sử dụng nhiều lần trong các kiểu tấn công Facebook trước đó, tuy nhiên ở lần này, mã độc đã được biến thể lại để tạo ra nhiều bước tấn công, nhắm chiếm quyền điều khiển và lừa đảo trên máy tính người dùng. Mã độc hiện tại sử dụng các thư viện liên quan đến Windows nên những người sử dụng Windows và Windows Phone sẽ là đối tượng tấn công hàng đầu của chúng, những người dùng sử dụng Android, iOS, Linux hay MacOS có thể tạm an toàn trước chiến dịch tấn công này. Tuy nhiên mã độc được dự đoán sẽ được tiếp tục biến đổi để hướng đến những nhóm người dùng này.
Nghiên cứu hành vi và mã nguồn của mã độc cũng giúp chỉ ra rằng, mẫu mã độc còn cố gắng cài thêm các tiện ích độc hại khác vào Chrome thông qua Google Web Store, gửi những thông tin cá nhân của người dùng về các máy chủ C&C, chặn người dùng truy cập vào những tên miền liên quan đến các phần mềm diệt virus, thậm chí còn được dự đoán có thể được biến đổi để tự động tải về các mẫu ransomware (mã độc tống tiền) khác.
Để kiểm tra máy mình có bị nhiễm loại mã độc này hay không, Cục An toàn thông tin khuyến nghị người dùng làm theo các cách sau:
– Chọn Start -> Run -> nhập chuỗi sau %AppData%\Mozila, nếu thư mục này tồn tại và trong thư mục có những file như: autoit.exehay ekl.au3 thì máy tính của bạn đã bị nhiễm.
– Mở trình duyệt Chrome từ Start, kiểm tra phần tiện ích mở rộng xem có tiện ích tên thnudoaitawxjvuGB hay không, nếu có thì máy tính của bạn đã bị nhiễm mã độc.
Nếu máy tính đã bị nhiễm, Cục An toàn thông tin cũng khuyến cáo người dùng có thể gỡ bỏ mã độc bằng cách thực hiện: đăng xuất tài khoản Facebook, tắt trình duyêt, ngắt kết nối Internet, sử dụng các phần mềm diệt virus bản quyền được cập nhật mới nhất quét toàn bộ máy. Hiện nay mẫu mã độc đã được cập nhật ở hầu hết các phần mềm diệt virus bản quyền có tên tuổi.
Để tránh bị nhiễm mã độc khi chưa bị lây nhiễm, người dùng cũng nên chú ý:
– Cảnh giác với những thông báo “nhắc đến” trên Facebook, khi nhấn vào thông báo, nếu thấy chuyển hướng đến bài viết chứa đường dẫn hoặc được chuyển hướng ra bên ngoài tên miền facebook.com cần hết sức thận trọng hoặc ngắt quá trình chuyển hướng.
– Không nhận tải về các file lạ, không rõ nội dung nguồn gốc từ những thông báo này.
– Luôn tỉnh táo với các bài viết có sự thu hút cao, yêu cầu nhấn vào đường dẫn trên mạng xã hội.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

  • Nguồn tin:
  • Mục danh sách #2