Gửi lúc: 09/05/2018 15:22:59
Bookmark and Share

Xuất hiện mã độc đào tiền ảo mới lây lan qua Facebook

Các nhà nghiên cứu bảo mật mạng từ Trend Micro đang cảnh báo người dùng về một tiện ích mở rộng độc hại của Chrome được phát tán qua Facebook Messenger, nhắm tới người sử dụng các sàn giao dịch tiền ảo để lấy cắp thông tin đăng nhập tài khoản.

Được gọi là FacexWorm, kỹ thuật tấn công này được sử dụng bởi tiện ích mở rộng độc hại đầu tiên xuất hiện vào tháng 8/2017. Đầu năm 2018, nó được phát hiện lây nhiễm trở lại với nhiều tính năng mới, bao gồm: Đánh cắp thông tin tài khoản từ các trang web như Google và các trang web giao dịch tiền ảo; Chuyển hướng nạn nhân đến các trang web giao dịch tiền ảo lừa đảo; Chèn miner trên các trang web để khai thác tiền ảo và chuyển hướng nạn nhân đến liên kết giới thiệu của kẻ tấn công cho các chương trình liên quan đến tiền ảo. 

Đây không phải là phần mềm độc hại đầu tiên lạm dụng Facebook Messenger để phát tán. Cuối năm 2017, các nhà nghiên cứu của Trend Micro đã phát hiện ra bot Digmine khai thác tiền ảo Monero lây lan qua Facebook Messenger và nhắm vào các máy tính Windows, trình duyệt Google Chrome để khai thác tiền ảo.





Cách thức hoạt động của phần mềm độc hại FacexWorm

Cũng giống như Digmine, FacexWorm hoạt động bằng cách gửi các liên kết được thiết kế mang tính chất xã hội qua Facebook Messenger tới bạn bè của tài khoản Facebook bị ảnh hưởng, để chuyển hướng nạn nhân đến các phiên bản giả mạo của các trang web phát trực tuyến video phổ biến như YouTube.


Quá trình lây nhiễm của FacexWorm

Nếu liên kết video độc hại được mở bằng trình duyệt Chrome, FacexWorm sẽ chuyển hướng nạn nhân đến trang YouTube giả. Tại đây, người dùng sẽ được khuyến khích tải xuống tiện ích mở rộng độc hại của Chrome dưới dạng phần mở rộng codec để tiếp tục phát video. Sau khi cài đặt, tiện ích FacexWorm Chrome tải xuống nhiều môđun hơn từ máy chủ C&C để thực hiện các tác vụ độc hại khác nhau.


Truy cập giữa FacexWorm và C&C

Sau khi cài đặt tiện ích mở rộng, FacexWorm có thể truy cập hoặc sửa đổi dữ liệu của bất kỳ trang web nào mà người dùng truy cập. Các hành vi mà phần mềm độc hại FacexWorm có thể thực hiện:

- Yêu cầu token truy cập OAuth cho tài khoản Facebook của nạn nhân, từ đó tự động truy cập danh sách bạn bè của nạn nhân và gửi liên kết video độc hại, giả mạo đến họ. Các hành vi này nhằm phát tán mã độc rộng hơn.

- Đánh cắp thông tin đăng nhập tài khoản Google, MyMonero và Coinhive.

- Chèn JavaScript miner để khai thác tiền ảo vào các trang web được nạn nhân truy cập, sử dụng sức mạnh CPU của máy tính nạn nhân để khai thác tiền ảo.

- Thực hiện Session Hijacking để thực hiện các giao dịch liên quan đến tiền ảo mà người dùng thực hiện.

- Kiếm tiền từ các chương trình giới thiệu liên quan đến tiền điện tử. 

- Khi phần mềm độc hại phát hiện người dùng đã truy cập một trong 52 sàn giao dịch tiền ảo, hoặc các từ khóa như “blockchain”, “eth-”, hoặc “ethereum” trong URL, FacexWorm sẽ chuyển hướng nạn nhân đến trang web lừa đảo tiền ảo để đánh cắp tiền ảo của người dùng. Các sàn giao dịch được nhắm tới bao gồm Poloniex, HitBTC, Bitfinex, Ethfinex, Binance và ví Blockchain.info.


Cách FacexWorm thêm mã giới thiệu vào các trang web mục tiêu mà người dùng có thể truy cập

FacexWorm thực hiện một cơ chế để ngăn chặn nạn nhân xóa phần mở rộng độc hại khỏi trình duyệt. Nếu FacexWorm phát hiện nạn nhân truy cập trang quản lý tiện ích mở rộng của Chrome, ngay lập tức các tab này sẽ được đóng. Hành vi này từng được sử dụng bởi các tiện ích độc hại khác như botnet DroidClub. 

Cho đến nay, các nhà nghiên cứu tại Trend Micro phát hiện FacexWorm đã xâm nhập ít nhất một giao dịch Bitcoin (trị giá 2,49 USD). Nhưng không xác định được số lượng tiền ảo kẻ tấn công kiếm được từ việc khai thác web độc hại.


Đoạn mã giúp FacexWorm giao tiếp với C&C và đóng trang quản lý tiện ích mở rộng

FacexWorm nhắm tới các loại tiền ảo gồm: Bitcoin (BTC), Bitcoin Gold (BTG), Bitcoin Cash (BCH), Dash (DASH), ETH, Ethereum Classic (ETC), Ripple (XRP), Litecoin (LTC), Zcash (ZEC) và Monero (XMR).

FacexWorm đã được tìm thấy ở Đức, Tunisia, Nhật Bản, Đài Loan, Hàn Quốc và Tây Ban Nha. Nhưng bằng hình thức lây nhiễm qua Facebook Messenger, nhiều khả năng nó đã lan rộng trên toàn cầu.

Phương pháp giảm thiểu

Kiểm soát từ cửa hàng Chrome trực tuyến: Mặc dù Google đã xóa nhiều tiện ích mở rộng độc hại trước khi được các nhà nghiên cứu Trend Micro thông báo, nhưng những kẻ tấn công vẫn tiếp tục tải nó lên kho ứng dụng. Cần tăng cường kiểm soát các tiện ích trước khi được công bố tại cửa hàng. 

Các nhà nghiên cứu cũng cho biết, Facebook Messenger cũng có thể phát hiện các liên kết độc hại, được thiết kế mang tính chất xã hội và thường xuyên chặn hành vi phát tán đến các tài khoản Facebook bị ảnh hưởng. Vì chiến dịch Facebook Spam khá phổ biến, người dùng nên thận trọng khi nhấp vào liên kết và tệp được cung cấp qua nền tảng mạng xã hội.

Một dấu hiệu nhận biết của FacexWorm

Mã băm file CRX của FacexWorm (SHA-256):
- 008c71429e51ae5163fc914a4f0e7157fc0389020ed0a921fe64540467cbb371                                                                     
- 3445b059e5e8b1e5a56cc57a38506317bf44035c95a2a053c916ca54017a40e5
- 22a8c09181a9f6e06d102bbb0d5372560cf3a432fe3c68e6554a81e3083fbc4f
- ea5abce0977b31238b715bd08b04808f8ff863134516c085cf5e0403b4268635
- 026742d5eb89338f639d13e543180043973b531b9004a52391b262337dd5df91
Chrome Extension IDs liên quan tới FacexWorm:
- akoefpoebeaikfcpoghppjcnhklffcjm
- ecfpnbgianoaiocjciahnkfognimimhf
- fanjaialdpcmadoodgppaaaldpccaedc
- jolmnflkapibjdpmiiofkopkdgklckll
- kojocamkjcbpcnibahfhomfjnliglfeo
Tên miền lừa đảo liên quan đến FacexWorm’s:
- video-sig[.]blogspot[.]com
- video-goyd[.]blogspot[.]com
- vido[.]vigor[.]design
- dot[.]filmnag[.]com
- filmnag[.]com
Các tên miền C&C liên quan tới FacexWorm:
- dirg[.]me
- seap[.]co
- roes[.]me
- ijocire[.]bid
- pingli[.]bid
- upej[.]date
- jsapi[.]me
- jsdo[.]bid
- uef[.]date
- uto[.]date
- dnseat[.]us
- ikesa[.]date
- yci[.]date

Khang Trần (Theo Trendmicro)