Được gọi là FacexWorm, kỹ thuật tấn công này được sử dụng bởi tiện ích mở rộng độc hại đầu tiên xuất hiện vào tháng 8/2017. Đầu năm 2018, nó được phát hiện lây nhiễm trở lại với nhiều tính năng mới, bao gồm: Đánh cắp thông tin tài khoản từ các trang web như Google và các trang web giao dịch tiền ảo; Chuyển hướng nạn nhân đến các trang web giao dịch tiền ảo lừa đảo; Chèn miner trên các trang web để khai thác tiền ảo và chuyển hướng nạn nhân đến liên kết giới thiệu của kẻ tấn công cho các chương trình liên quan đến tiền ảo.
Đây không phải là phần mềm độc hại đầu tiên lạm dụng Facebook Messenger để phát tán. Cuối năm 2017, các nhà nghiên cứu của Trend Micro đã phát hiện ra bot Digmine khai thác tiền ảo Monero lây lan qua Facebook Messenger và nhắm vào các máy tính Windows, trình duyệt Google Chrome để khai thác tiền ảo.
Cách thức hoạt động của phần mềm độc hại FacexWorm
Cũng giống như Digmine, FacexWorm hoạt động bằng cách gửi các liên kết được thiết kế mang tính chất xã hội qua Facebook Messenger tới bạn bè của tài khoản Facebook bị ảnh hưởng, để chuyển hướng nạn nhân đến các phiên bản giả mạo của các trang web phát trực tuyến video phổ biến như YouTube.
Nếu liên kết video độc hại được mở bằng trình duyệt Chrome, FacexWorm sẽ chuyển hướng nạn nhân đến trang YouTube giả. Tại đây, người dùng sẽ được khuyến khích tải xuống tiện ích mở rộng độc hại của Chrome dưới dạng phần mở rộng codec để tiếp tục phát video. Sau khi cài đặt, tiện ích FacexWorm Chrome tải xuống nhiều môđun hơn từ máy chủ C&C để thực hiện các tác vụ độc hại khác nhau.
Sau khi cài đặt tiện ích mở rộng, FacexWorm có thể truy cập hoặc sửa đổi dữ liệu của bất kỳ trang web nào mà người dùng truy cập. Các hành vi mà phần mềm độc hại FacexWorm có thể thực hiện:
- Yêu cầu token truy cập OAuth cho tài khoản Facebook của nạn nhân, từ đó tự động truy cập danh sách bạn bè của nạn nhân và gửi liên kết video độc hại, giả mạo đến họ. Các hành vi này nhằm phát tán mã độc rộng hơn.
- Đánh cắp thông tin đăng nhập tài khoản Google, MyMonero và Coinhive.
- Chèn JavaScript miner để khai thác tiền ảo vào các trang web được nạn nhân truy cập, sử dụng sức mạnh CPU của máy tính nạn nhân để khai thác tiền ảo.
- Thực hiện Session Hijacking để thực hiện các giao dịch liên quan đến tiền ảo mà người dùng thực hiện.
- Kiếm tiền từ các chương trình giới thiệu liên quan đến tiền điện tử.
- Khi phần mềm độc hại phát hiện người dùng đã truy cập một trong 52 sàn giao dịch tiền ảo, hoặc các từ khóa như “blockchain”, “eth-”, hoặc “ethereum” trong URL, FacexWorm sẽ chuyển hướng nạn nhân đến trang web lừa đảo tiền ảo để đánh cắp tiền ảo của người dùng. Các sàn giao dịch được nhắm tới bao gồm Poloniex, HitBTC, Bitfinex, Ethfinex, Binance và ví Blockchain.info.
FacexWorm thực hiện một cơ chế để ngăn chặn nạn nhân xóa phần mở rộng độc hại khỏi trình duyệt. Nếu FacexWorm phát hiện nạn nhân truy cập trang quản lý tiện ích mở rộng của Chrome, ngay lập tức các tab này sẽ được đóng. Hành vi này từng được sử dụng bởi các tiện ích độc hại khác như botnet DroidClub.
Cho đến nay, các nhà nghiên cứu tại Trend Micro phát hiện FacexWorm đã xâm nhập ít nhất một giao dịch Bitcoin (trị giá 2,49 USD). Nhưng không xác định được số lượng tiền ảo kẻ tấn công kiếm được từ việc khai thác web độc hại.
FacexWorm nhắm tới các loại tiền ảo gồm: Bitcoin (BTC), Bitcoin Gold (BTG), Bitcoin Cash (BCH), Dash (DASH), ETH, Ethereum Classic (ETC), Ripple (XRP), Litecoin (LTC), Zcash (ZEC) và Monero (XMR).
FacexWorm đã được tìm thấy ở Đức, Tunisia, Nhật Bản, Đài Loan, Hàn Quốc và Tây Ban Nha. Nhưng bằng hình thức lây nhiễm qua Facebook Messenger, nhiều khả năng nó đã lan rộng trên toàn cầu.
Phương pháp giảm thiểu
Kiểm soát từ cửa hàng Chrome trực tuyến: Mặc dù Google đã xóa nhiều tiện ích mở rộng độc hại trước khi được các nhà nghiên cứu Trend Micro thông báo, nhưng những kẻ tấn công vẫn tiếp tục tải nó lên kho ứng dụng. Cần tăng cường kiểm soát các tiện ích trước khi được công bố tại cửa hàng.
Các nhà nghiên cứu cũng cho biết, Facebook Messenger cũng có thể phát hiện các liên kết độc hại, được thiết kế mang tính chất xã hội và thường xuyên chặn hành vi phát tán đến các tài khoản Facebook bị ảnh hưởng. Vì chiến dịch Facebook Spam khá phổ biến, người dùng nên thận trọng khi nhấp vào liên kết và tệp được cung cấp qua nền tảng mạng xã hội.
Một dấu hiệu nhận biết của FacexWorm Mã băm file CRX của FacexWorm (SHA-256):
Chrome Extension IDs liên quan tới FacexWorm:
Tên miền lừa đảo liên quan đến FacexWorm’s:
Các tên miền C&C liên quan tới FacexWorm:
|
Khang Trần (Theo Trendmicro)
09:00 | 31/05/2018
09:00 | 05/06/2018
07:00 | 09/07/2018
09:00 | 27/07/2018
14:00 | 25/07/2018
10:00 | 21/02/2024
Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.
08:00 | 19/01/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Malwarebytes (Mỹ) đã xác định được phiên bản cập nhật của phần mềm đánh cắp thông tin trên macOS có tên là Atomic Stealer (hoặc AMOS), cho thấy các tác nhân đe dọa phát triển phần mềm độc hại này đang tích cực nâng cao khả năng của nó. Trong bài viết này sẽ xem xét những thay đổi mới nhất của Atomic Stealer và việc phân phối gần đây các quảng cáo độc hại thông qua công cụ tìm kiếm Google.
07:00 | 27/12/2023
Các nhà nghiên cứu tại Công ty công nghệ an ninh mạng Cisco Talos (Mỹ) mới đây đã phát hiện ra chiến dịch Operation Blacksmith do nhóm tin tặc Lazarus khét tiếng của Triều Tiên thực hiện, sử dụng ba họ phần mềm độc hại dựa trên ngôn ngữ lập trình DLang, bao gồm trojan truy cập từ xa (RAT) có tên là NineRAT tận dụng Telegram để ra lệnh và kiểm soát (C2), DLRAT và trình tải xuống có tên là BottomLoader.
16:00 | 01/12/2023
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Check Point cho biết đã phát một số biến thể mới của phần mềm độc hại SysJoker, trong đó bao gồm một biến thể được mã hóa bằng Rust, được các tin tặc ủng hộ Hamas sử dụng trong các cuộc tấn công mạng nhắm đến Israel, trong bối cảnh leo thang cuộc xung đột vũ trang giữa Israel và Hamas đang diễn ra. Trong bài viết này sẽ tập trung phân tích phiên bản Rust của SysJoker dựa trên báo cáo nghiên cứu mới đây của Check Point.
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024