Được gọi là FacexWorm, kỹ thuật tấn công này được sử dụng bởi tiện ích mở rộng độc hại đầu tiên xuất hiện vào tháng 8/2017. Đầu năm 2018, nó được phát hiện lây nhiễm trở lại với nhiều tính năng mới, bao gồm: Đánh cắp thông tin tài khoản từ các trang web như Google và các trang web giao dịch tiền ảo; Chuyển hướng nạn nhân đến các trang web giao dịch tiền ảo lừa đảo; Chèn miner trên các trang web để khai thác tiền ảo và chuyển hướng nạn nhân đến liên kết giới thiệu của kẻ tấn công cho các chương trình liên quan đến tiền ảo.
Đây không phải là phần mềm độc hại đầu tiên lạm dụng Facebook Messenger để phát tán. Cuối năm 2017, các nhà nghiên cứu của Trend Micro đã phát hiện ra bot Digmine khai thác tiền ảo Monero lây lan qua Facebook Messenger và nhắm vào các máy tính Windows, trình duyệt Google Chrome để khai thác tiền ảo.
Cách thức hoạt động của phần mềm độc hại FacexWorm
Cũng giống như Digmine, FacexWorm hoạt động bằng cách gửi các liên kết được thiết kế mang tính chất xã hội qua Facebook Messenger tới bạn bè của tài khoản Facebook bị ảnh hưởng, để chuyển hướng nạn nhân đến các phiên bản giả mạo của các trang web phát trực tuyến video phổ biến như YouTube.
Nếu liên kết video độc hại được mở bằng trình duyệt Chrome, FacexWorm sẽ chuyển hướng nạn nhân đến trang YouTube giả. Tại đây, người dùng sẽ được khuyến khích tải xuống tiện ích mở rộng độc hại của Chrome dưới dạng phần mở rộng codec để tiếp tục phát video. Sau khi cài đặt, tiện ích FacexWorm Chrome tải xuống nhiều môđun hơn từ máy chủ C&C để thực hiện các tác vụ độc hại khác nhau.
Sau khi cài đặt tiện ích mở rộng, FacexWorm có thể truy cập hoặc sửa đổi dữ liệu của bất kỳ trang web nào mà người dùng truy cập. Các hành vi mà phần mềm độc hại FacexWorm có thể thực hiện:
- Yêu cầu token truy cập OAuth cho tài khoản Facebook của nạn nhân, từ đó tự động truy cập danh sách bạn bè của nạn nhân và gửi liên kết video độc hại, giả mạo đến họ. Các hành vi này nhằm phát tán mã độc rộng hơn.
- Đánh cắp thông tin đăng nhập tài khoản Google, MyMonero và Coinhive.
- Chèn JavaScript miner để khai thác tiền ảo vào các trang web được nạn nhân truy cập, sử dụng sức mạnh CPU của máy tính nạn nhân để khai thác tiền ảo.
- Thực hiện Session Hijacking để thực hiện các giao dịch liên quan đến tiền ảo mà người dùng thực hiện.
- Kiếm tiền từ các chương trình giới thiệu liên quan đến tiền điện tử.
- Khi phần mềm độc hại phát hiện người dùng đã truy cập một trong 52 sàn giao dịch tiền ảo, hoặc các từ khóa như “blockchain”, “eth-”, hoặc “ethereum” trong URL, FacexWorm sẽ chuyển hướng nạn nhân đến trang web lừa đảo tiền ảo để đánh cắp tiền ảo của người dùng. Các sàn giao dịch được nhắm tới bao gồm Poloniex, HitBTC, Bitfinex, Ethfinex, Binance và ví Blockchain.info.
FacexWorm thực hiện một cơ chế để ngăn chặn nạn nhân xóa phần mở rộng độc hại khỏi trình duyệt. Nếu FacexWorm phát hiện nạn nhân truy cập trang quản lý tiện ích mở rộng của Chrome, ngay lập tức các tab này sẽ được đóng. Hành vi này từng được sử dụng bởi các tiện ích độc hại khác như botnet DroidClub.
Cho đến nay, các nhà nghiên cứu tại Trend Micro phát hiện FacexWorm đã xâm nhập ít nhất một giao dịch Bitcoin (trị giá 2,49 USD). Nhưng không xác định được số lượng tiền ảo kẻ tấn công kiếm được từ việc khai thác web độc hại.
FacexWorm nhắm tới các loại tiền ảo gồm: Bitcoin (BTC), Bitcoin Gold (BTG), Bitcoin Cash (BCH), Dash (DASH), ETH, Ethereum Classic (ETC), Ripple (XRP), Litecoin (LTC), Zcash (ZEC) và Monero (XMR).
FacexWorm đã được tìm thấy ở Đức, Tunisia, Nhật Bản, Đài Loan, Hàn Quốc và Tây Ban Nha. Nhưng bằng hình thức lây nhiễm qua Facebook Messenger, nhiều khả năng nó đã lan rộng trên toàn cầu.
Phương pháp giảm thiểu
Kiểm soát từ cửa hàng Chrome trực tuyến: Mặc dù Google đã xóa nhiều tiện ích mở rộng độc hại trước khi được các nhà nghiên cứu Trend Micro thông báo, nhưng những kẻ tấn công vẫn tiếp tục tải nó lên kho ứng dụng. Cần tăng cường kiểm soát các tiện ích trước khi được công bố tại cửa hàng.
Các nhà nghiên cứu cũng cho biết, Facebook Messenger cũng có thể phát hiện các liên kết độc hại, được thiết kế mang tính chất xã hội và thường xuyên chặn hành vi phát tán đến các tài khoản Facebook bị ảnh hưởng. Vì chiến dịch Facebook Spam khá phổ biến, người dùng nên thận trọng khi nhấp vào liên kết và tệp được cung cấp qua nền tảng mạng xã hội.
Một dấu hiệu nhận biết của FacexWorm Mã băm file CRX của FacexWorm (SHA-256):
Chrome Extension IDs liên quan tới FacexWorm:
Tên miền lừa đảo liên quan đến FacexWorm’s:
Các tên miền C&C liên quan tới FacexWorm:
|
Khang Trần (Theo Trendmicro)
09:00 | 31/05/2018
09:00 | 05/06/2018
07:00 | 09/07/2018
09:00 | 27/07/2018
14:00 | 25/07/2018
14:00 | 25/04/2024
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
08:00 | 04/04/2024
Các nhà nghiên cứu bảo mật phát hiện ra plugin của bên thứ ba hiện có dành cho ChatGPT có thể hoạt động như một bề mặt tấn công mới để truy cập trái phép vào dữ liệu nhạy cảm.
13:00 | 28/03/2024
Một chiến dịch tấn công tinh vi được cho là do nhóm tin tặc APT của Trung Quốc có tên Earth Krahang thực hiện, chúng đã xâm nhập 70 tổ chức tại 23 quốc gia và nhắm mục tiêu vào ít nhất 116 tổ chức của 45 quốc gia khác trên thế giới.
07:00 | 16/01/2024
Các nhà nghiên cứu an ninh mạng đã phát hiện một backdoor macOS mới có tên là SpectralBlur. Đặc biệt backdoor này có những điểm tương đồng với dòng phần mềm độc hại KandyKorn của các tin tặc Triều Tiên trong các chiến dịch tấn công mạng được xác định gần đây.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024