Tổng hợp tin tức và thủ thuật về Mạng Xã Hội Facebook

Tin tức Facebook, thủ thuật Facebook, ứng dụng Facebook

CyRadar chỉ cách ngăn chặn virus đào tiền ảo đang lây lan mạnh qua Facebook Messenger

Monday 25 December 2017

Đăng Nguyên

Trên cơ sở phân tích kỹ thuật dòng mã độc mới đang phát tán mạnh qua ứng dụng Facebook Messenger, các chuyên gia CyRadar đã đưa ra khuyến cáo với quản trị mạng các tổ chức, doanh nghiệp và người dùng cá nhân.

Hôm nay, 19/12/2017, các chuyên gia Công ty an toàn thông tin mạng CyRadar đã tiến hành phân tích kỹ thuật dòng mã độc mới đang phát tán mạnh mẽ tại Việt Nam qua Facebook Messenger trong 48 giờ vừa qua.

Facebook Messenger là kênh phát tán của dòng mã độc đang lây lan mạnh tại Việt Nam (Nguồn ảnh: CyRadar).

Một file tên “video_{4_chữ_số}.zip” đã được tự động gửi tới các nạn nhân qua giao diện Facebook Messenger, trong file nén này chứa file thực thi “video_{random_số}.mp4.exe” với biểu tượng hình video.

File chứa mã độc (Nguồn ảnh: CyRadar)

Theo nhận định của các chuyên gia CyRadar, cách thức lây lan không hề mới, tuy nhiên cũng như các chiến dịch phát tán qua mạng xã hội, hay các ứng dụng chat phổ biến khác, mã độc lần này có tốc độ lan rộng nhanh nhờ tính kết nối của Facebook và đặc tính tính tò mò, thiếu cảnh giác của phần đông người sử dụng. Sau khi lây nhiễm được vào máy tính nạn nhân, mã độc ăn cắp tài khoản Facebook, tiếp tục phát tán thông qua Facebook của họ, đồng thời lợi dụng máy tính đó để chạy phần mềm đào tiền ảo.

Các hành vi chính của mã độc (Nguồn ảnh: CyRadar)

Phân tích về hành vi của mã độc, CyRadar cho hay, người dùng Facebook sau khi tải file zip về, nếu thực thi file exe (giả mạo mp4) bên trong đó, mã độc sẽ được cài đặt lên máy.

Tải file trên server về và bung ra. Trong đó chứa một Chrome extensions và coinminer (Nguồn: CyRadar)

Copy chính nó và ghi key run (Nguồn: CyRadar)

Tạo shortcut với tham số load-extension cho Chrome (Nguồn: CyRadar)

Chạy chương trình “đào” tiền ảo Monero trên máy bị nhiễm (Nguồn: CyRadar)

Extension được load mỗi khi shortcut Chrome đươc mở, thực hiện tải file config từ server, qua đó tiếp tục hành vi phát tán (Nguồn: CyRadar).

Đặc biệt, theo phân tích của CyRadar Team, extension (tiện ích mở rộng - PV) ở đây còn có hành vi ăn cắp tài khoản, mật khẩu Facebook của người dùng, gửi về server của kẻ tấn công:

Đoạn code thực hiện gửi thông tin tài khoản, mật khẩu Facebook về server của hacker (Nguồn: CyRadar)

Mở rộng hơn, bằng công nghệ MalwareGraph (sử dụng đồ thị để xử lý và phân tích, tìm mối liên hệ giữa mã độc và các hạ tầng (máy chủ, tên miền) mà hacker sử dụng để tấn công), CyRadar đã khoang vùng được cả cụm những domain, server liên quan đến kẻ đứng sau chiến dịch tấn công này, những server mà có thể đã/đang/sẽ được sử dụng ở các chiến dịch tấn công khác:

Hạ tầng của kẻ tấn công sử dụng trong nhiều chiến dịch phát tán mã độc khác nhau (Nguồn ảnh: CyRadar)

Các chuyên gia CyRadar khuyến cáo các quản trị mạng của tổ chức, doanh nghiệp cần thực hiện block các domain của kẻ tấn công:

Còn với người dùng cá nhân, CyRadar khuyến nghị, người dùng cần cảnh giác, không tải, mở các file trong file .zip qua Facebook Messenger trừ khi biết chắc hoặc xác nhận được với người gửi về file này.

Trường hợp người dùng đã tải và chạy file, có thể kiểm tra lại trạng thái bị nhiễm bằng cách mở Chrome, nhập vào thanh địa chỉ : chrome://extensions/ và enter để load thử, nếu tab này tự động bị đóng thì nghĩa là máy đã bị nhiễm. Khi đó, người dùng có thể tạm thời gỡ bỏ bằng cách vào “Start Menu”, gõ “run”, tiếp đó nhập “%APPDATA%”, tìm thư mục có tên trùng với tên user trên máy, sau đó xóa toàn bộ thư mục này và khởi động lại máy.

Thư mục lưu file độc (Nguồn: CyRadar)

CyRadar cũng hướng dẫn rõ, việc xóa thư mục trên, sẽ xóa các file độc hại ở cuộc tấn công này, bao gồm cả file extension độc, dẫn đến trình duyệt Chrome sẽ báo lỗi nếu mở từ Shortcut. Người dùng có thể khắc phục thông báo lỗi này bằng cách: bấm chuột phải vào Shortcut vẫn dùng để mở Chrome,chọn Properties, tiếp đó xóa đoạn “--enable-automation --disable-infobars --load-extension=” trong ô Target, bấm Ok.

“Để gỡ bỏ toàn vẹn hơn, người dùng nên sử dụng một phần mềm diệt virus của hãng lớn. Đến nay hầu hết các phần mềm diệt virus lớn đều đã cập nhật, nhận diện được mã độc này”, CyRadar Team cho hay.