Trên cơ sở phân tích kỹ thuật dòng mã độc mới đang phát tán mạnh qua ứng dụng Facebook Messenger, các chuyên gia CyRadar đã đưa ra khuyến cáo với quản trị mạng các tổ chức, doanh nghiệp và người dùng cá nhân.
Hôm nay, 19/12/2017, các chuyên gia Công ty an toàn thông tin mạng CyRadar đã tiến hành phân tích kỹ thuật dòng mã độc mới đang phát tán mạnh mẽ tại Việt Nam qua Facebook Messenger trong 48 giờ vừa qua.
Facebook Messenger là kênh phát tán của dòng mã độc đang lây lan mạnh tại Việt Nam (Nguồn ảnh: CyRadar).
Một file tên “video_{4_chữ_số}.zip” đã được tự động gửi tới các nạn nhân qua giao diện Facebook Messenger, trong file nén này chứa file thực thi “video_{random_số}.mp4.exe” với biểu tượng hình video.
File chứa mã độc (Nguồn ảnh: CyRadar)
Theo nhận định của các chuyên gia CyRadar, cách thức lây lan không hề mới, tuy nhiên cũng như các chiến dịch phát tán qua mạng xã hội, hay các ứng dụng chat phổ biến khác, mã độc lần này có tốc độ lan rộng nhanh nhờ tính kết nối của Facebook và đặc tính tính tò mò, thiếu cảnh giác của phần đông người sử dụng. Sau khi lây nhiễm được vào máy tính nạn nhân, mã độc ăn cắp tài khoản Facebook, tiếp tục phát tán thông qua Facebook của họ, đồng thời lợi dụng máy tính đó để chạy phần mềm đào tiền ảo.
Các hành vi chính của mã độc (Nguồn ảnh: CyRadar)
Phân tích về hành vi của mã độc, CyRadar cho hay, người dùng Facebook sau khi tải file zip về, nếu thực thi file exe (giả mạo mp4) bên trong đó, mã độc sẽ được cài đặt lên máy.
Tải file trên server về và bung ra. Trong đó chứa một Chrome extensions và coinminer (Nguồn: CyRadar)
Copy chính nó và ghi key run (Nguồn: CyRadar)
Tạo shortcut với tham số load-extension cho Chrome (Nguồn: CyRadar)
Chạy chương trình “đào” tiền ảo Monero trên máy bị nhiễm (Nguồn: CyRadar)
Extension được load mỗi khi shortcut Chrome đươc mở, thực hiện tải file config từ server, qua đó tiếp tục hành vi phát tán (Nguồn: CyRadar).
Đặc biệt, theo phân tích của CyRadar Team, extension (tiện ích mở rộng - PV) ở đây còn có hành vi ăn cắp tài khoản, mật khẩu Facebook của người dùng, gửi về server của kẻ tấn công:
Đoạn code thực hiện gửi thông tin tài khoản, mật khẩu Facebook về server của hacker (Nguồn: CyRadar)
Mở rộng hơn, bằng công nghệ MalwareGraph (sử dụng đồ thị để xử lý và phân tích, tìm mối liên hệ giữa mã độc và các hạ tầng (máy chủ, tên miền) mà hacker sử dụng để tấn công), CyRadar đã khoang vùng được cả cụm những domain, server liên quan đến kẻ đứng sau chiến dịch tấn công này, những server mà có thể đã/đang/sẽ được sử dụng ở các chiến dịch tấn công khác:
Hạ tầng của kẻ tấn công sử dụng trong nhiều chiến dịch phát tán mã độc khác nhau (Nguồn ảnh: CyRadar)
Các chuyên gia CyRadar khuyến cáo các quản trị mạng của tổ chức, doanh nghiệp cần thực hiện block các domain của kẻ tấn công:
Còn với người dùng cá nhân, CyRadar khuyến nghị, người dùng cần cảnh giác, không tải, mở các file trong file .zip qua Facebook Messenger trừ khi biết chắc hoặc xác nhận được với người gửi về file này.
Trường hợp người dùng đã tải và chạy file, có thể kiểm tra lại trạng thái bị nhiễm bằng cách mở Chrome, nhập vào thanh địa chỉ : chrome://extensions/ và enter để load thử, nếu tab này tự động bị đóng thì nghĩa là máy đã bị nhiễm. Khi đó, người dùng có thể tạm thời gỡ bỏ bằng cách vào “Start Menu”, gõ “run”, tiếp đó nhập “%APPDATA%”, tìm thư mục có tên trùng với tên user trên máy, sau đó xóa toàn bộ thư mục này và khởi động lại máy.
Thư mục lưu file độc (Nguồn: CyRadar)
CyRadar cũng hướng dẫn rõ, việc xóa thư mục trên, sẽ xóa các file độc hại ở cuộc tấn công này, bao gồm cả file extension độc, dẫn đến trình duyệt Chrome sẽ báo lỗi nếu mở từ Shortcut. Người dùng có thể khắc phục thông báo lỗi này bằng cách: bấm chuột phải vào Shortcut vẫn dùng để mở Chrome,chọn Properties, tiếp đó xóa đoạn “--enable-automation --disable-infobars --load-extension=” trong ô Target, bấm Ok.
“Để gỡ bỏ toàn vẹn hơn, người dùng nên sử dụng một phần mềm diệt virus của hãng lớn. Đến nay hầu hết các phần mềm diệt virus lớn đều đã cập nhật, nhận diện được mã độc này”, CyRadar Team cho hay.
CyRadar chỉ cách ngăn chặn virus đào tiền ảo đang lây lan mạnh qua Facebook Messenger
Monday 25 December 2017
Đăng Nguyên
Vân Anh
Labels: thu-thuat-facebook
Subscribe to:
Post Comments (Atom)
Blog Archive
-
▼
2017
(91)
-
▼
December
(31)
- In quà tặng, in logo lên sản phẩm làm quà tặng
- Hai công nghệ đáng chờ trên smartphone 2018
- Nhiều người Việt sập bẫy trò lừa tắt điện thoại tr...
- FaceID sẽ làm sôi động thị trường tablet
- Lỗ hổng Facebook làm lộ số điện thoại của người dùng
- VNCERT khuyến cáo người dùng Việt đổi mật khẩu tài...
- CyRadar chỉ cách ngăn chặn virus đào tiền ảo đang ...
- Cảnh báo rủi ro khi đổ xô đầu cơ tiền ảo
- F88 ra mắt website định giá tài sản bằng trí tuệ n...
- Cách đào coin trên iPhone
- Sản xuất sổ còng, sổ bìa da còng, sổ còng cao cấp
- Facebook thêm tính năng chống tài khoản mạo danh
- Apple bị kiện vì logo App Store giống một công ty ...
- Sàn Bitcoin Hàn Quốc nộp đơn phá sản sau 2 lần bị ...
- Thiết kế, in ấn và sản xuất sổ da tại Thanh Xuân
- Những trào lưu chia sẻ ảnh gây sốt trên mạng năm 2017
- Mã độc đào tiền ảo lây lan qua Facebook Messenger
- FBI: Hãy cẩn trọng với email lừa đảo bằng bitcoin
- Việt Nam lần đầu vô địch cuộc thi an ninh mạng Whi...
- Facebook mạnh tay với các bài viết 'câu like'
- In lịch tết làm quà tặng theo yêu cầu
- Thu thuế với bán hàng online, livestream trên face...
- Facebook đã cho phép người dùng chặn Mark Zuckerberg
- Người Việt tìm kiếm gì trên mạng năm 2017
- In ấn và sản xuất sổ lò xo, sổ tay gáy lò xo
- Một ngày bình thường của Mark Zuckerberg
- In logo lên mọi chất liệu làm quà tặng doanh nghiệp
- Trào lưu nuôi mèo ảo bằng tiền điện tử
- Xem ai là fan 'ruột' của bạn trên Facebook
- In thiệp chúc mừng năm mới, phong bao lì xì tại In...
- Chụp ảnh kỷ yếu - Đề tài nạn buôn bán phụ nữ
-
▼
December
(31)
Thông tin tác giả
Isabella Do - Ngọc Nguyễn
Leader Team at Mạng Xã Hội Facebook
0 comments:
Post a Comment