Trong ngày hôm nay (15/11/2015), trên Facebook đang tràn lan những cảnh bảo về một loại mã độc, phishing mới. Mã độc này đang lây lan theo cấp số nhân vì mỗi tài khoản bị chiếm đoạt lại biến thành một "tổng đài" phát tán virus.
Cộng đồng mạng cảnh báo về loại mã độc mớiMã độc gửi thông báo trong list friendQua bài phân tích của Juno_okyo's Blog chúng ra rút ra một số cách cảnh giác trước mã độc này như sau:
Khi nhỡ tay click vào link " Ai đó đã tag bạn vào ... " . Hãy nhanh chóng back lại trang trước và không click vào bất kỳ link nào mà bạn không chắn chắn nó an toàn.
Khi nhận được thông báo cài đặt bất kỳ Plugin/Extension trên Chrome, CocCoc thì không được cài.
Cách khắc phục khi bị dính mã độc, tạm thời Sforum đề nghị với các bạn một số phương pháp sau:
Gõ bỏ Plugin/Extension trên Chrome, CocCoc ngay lập tức.
Truy cập menu cài đặt trên facebook và kiểm tra xem có email hoặc số điện thoại nào lạ vừa được thêm vào tài khoản của bạn không. Nếu có thì tiến hành gỡ bỏ ngay email hoặc sdt lạ đó
Đổi mất khẩu, bật xác thực bảo vệ 2 lớp qua điện thoại.
Phân tích mã độc
Dưới đây, Sforum xin phép được mượn bài phân tích của Juno_okyo's Blog để giúp các bạn hiểu hơn về loại mã độc mới này.
Ở thời điểm hiện tại, khi nhấn vào thông báo thì bạn sẽ nhận được cảnh báo từ Facebook:
Để có thể viết bài phân tích cho các bạn, tôi sẽ nhấn vào Truy cập liên kết. Tuy nhiên các bạn hãy vào Quay lại để đảm bảo an toàn cho bản thân!
Sau khi nhấn vào thông báo, thay vì chuyển hướng tới bình luận như mọi khi thì người dùng sẽ bị chuyển hướng sang một trang web có giao diện giống hệt Facebook.
Dù đây là tấn công theo phương thức Phishing nhưng không phải kiểu thông thường mà chúng ta thường gặp là nhái trang đăng nhập. Lần này nó sẽ hiển thị một trang xem video như trên Facebook.
Sau khi truy cập khoảng 5 giây sẽ có một thông báo yêu cầu cài đặt Extension vào trình duyệt. Tại sao trang web có thể hiển thị thông báo như khi bạn nhấn nút cài đặt Extension trên Chrome Store? Đó là vì kẻ tấn công đã sử dụng phương thức Cài đặt nội tuyến (Inline Installation).
Tất nhiên là tôi sẽ không cài đặt rồi. Bằng một số thủ thuật tìm thấy trên Google, tôi tải được tập tin CRX (đuôi mở rộng của Extension) về máy.
Phân tích mã độc
CRX thực chất là một định dạng nén đặc biệt của Extension, giống như đuôi JAR của tập tin JAVA. Tức là ta có thể xem nội dung bên trong như một tập tin nén thông thường.
Trong phần mở rộng này có một tập tin khá đặc biệt là 639040963078.mp3 (tập tin MP3 rất ít khi được sử dụng trong Extension). Quét thử với Virus Total thì kết quả có vẻ cũng không "nguy hiểm" lắm.
Tôi liền mở tập tin manifest.json ra coi. Đây là tập tin chứa các thông tin cơ bản và quyền hạn của một Extension.
Phần quyền hạn (permission) có vẻ khá nhạy cảm. Nó quản lý các tab và mọi trang web mà bạn truy cập (kể cả trang web đó sử dụng giao thức bảo mật HTTPS).
Nhưng có một điểm thú vị hơn là phần kịch bản chạy nền (background):
Tại sao tôi lại nói là thú vị? Vì phần này khai báo HTML hoặc JavaScript nhưng tác giả của Extension lại trỏ vào tập tin *.mp3
Tôi liền đổi đuôi tập tin 639040963078.mp3 thành 639040963078.js và mở lên xem nội dung.
Đoạn mã đã được làm rối (Obfuscated), tuy nhiên mã khá ngắn nên không tốn nhiều thời gian lắm để lấy lại đoạn mã ban đầu:
Chú ý: Tên miền trong đoạn mã chứa mã độc nên tôi đã ẩn.
Đoạn mã trên sẽ lắng nghe sự kiện mỗi khi người dùng mở tab mới hoặc tab được điều hướng. Khi sự kiện này xảy ra nó sẽ thực thi một đoạn mã độc từ xa. Nội dung mã độc mới được lấy thông qua Ajax.
Bài viết cũng đã khá dài. Tôi sẽ tiếp tục phân tích đoạn mã độc được thực thi trong phần 2.
Mời bạn tham gia group Facebook của Sforum.vn cùng
nhau trao đổi, thảo luận các thông tin hot về thị
trường công nghệ Việt Nam, tham gia ngay
tại: Sforum – Sunsee
Tech.
Để có thể viết bài phân tích cho các bạn, tôi sẽ nhấn vào 
Sau khi truy cập khoảng 5 giây sẽ có một thông báo yêu cầu cài đặt Extension vào trình duyệt. Tại sao trang web có thể hiển thị thông báo như khi bạn nhấn nút cài đặt Extension trên Chrome Store? Đó là vì kẻ tấn công đã sử dụng phương thức Cài đặt nội tuyến (Inline Installation).
Tất nhiên là tôi sẽ không cài đặt rồi. Bằng một số thủ thuật tìm thấy trên Google, tôi tải được tập tin CRX (đuôi mở rộng của Extension) về máy.
Trong phần mở rộng này có một tập tin khá đặc biệt là 639040963078.mp3 (tập tin MP3 rất ít khi được sử dụng trong Extension). Quét thử với Virus Total thì kết quả có vẻ cũng không "nguy hiểm" lắm.
Tôi liền mở tập tin manifest.json ra coi. Đây là tập tin chứa các thông tin cơ bản và quyền hạn của một Extension.
Phần quyền hạn (permission) có vẻ khá nhạy cảm. Nó quản lý các tab và mọi trang web mà bạn truy cập (kể cả trang web đó sử dụng giao thức bảo mật HTTPS).
Nhưng có một điểm thú vị hơn là phần kịch bản chạy nền (background):
Tại sao tôi lại nói là thú vị? Vì phần này khai báo HTML hoặc JavaScript nhưng tác giả của Extension lại trỏ vào tập tin *.mp3
Tôi liền đổi đuôi tập tin 639040963078.mp3 thành 639040963078.js và mở lên xem nội dung.
Đoạn mã đã được làm rối (Obfuscated), tuy nhiên mã khá ngắn nên không tốn nhiều thời gian lắm để lấy lại đoạn mã ban đầu:
Chú ý: Tên miền trong đoạn mã chứa mã độc nên tôi đã ẩn.
Đoạn mã trên sẽ lắng nghe sự kiện mỗi khi người dùng mở tab mới hoặc tab được điều hướng. Khi sự kiện này xảy ra nó sẽ thực thi một đoạn mã độc từ xa. Nội dung mã độc mới được lấy thông qua Ajax.
Bài viết cũng đã khá dài. Tôi sẽ tiếp tục phân tích đoạn mã độc được thực thi trong phần 2.
Để có thể viết bài phân tích cho các bạn, tôi sẽ nhấn vào 
Sau khi truy cập khoảng 5 giây sẽ có một thông báo yêu cầu cài đặt Extension vào trình duyệt. Tại sao trang web có thể hiển thị thông báo như khi bạn nhấn nút cài đặt Extension trên Chrome Store? Đó là vì kẻ tấn công đã sử dụng phương thức Cài đặt nội tuyến (Inline Installation).
Tất nhiên là tôi sẽ không cài đặt rồi. Bằng một số thủ thuật tìm thấy trên Google, tôi tải được tập tin CRX (đuôi mở rộng của Extension) về máy.
Phần quyền hạn (permission) có vẻ khá nhạy cảm. Nó quản lý các tab và mọi trang web mà bạn truy cập (kể cả trang web đó sử dụng giao thức bảo mật HTTPS).
Nhưng có một điểm thú vị hơn là phần kịch bản chạy nền (background):
Tại sao tôi lại nói là thú vị? Vì phần này khai báo HTML hoặc JavaScript nhưng tác giả của Extension lại trỏ vào tập tin *.mp3
Tôi liền đổi đuôi tập tin 639040963078.mp3 thành 639040963078.js và mở lên xem nội dung.
Đoạn mã đã được làm rối (Obfuscated), tuy nhiên mã khá ngắn nên không tốn nhiều thời gian lắm để lấy lại đoạn mã ban đầu:
Chú ý: Tên miền trong đoạn mã chứa mã độc nên tôi đã ẩn.
Đoạn mã trên sẽ lắng nghe sự kiện mỗi khi người dùng mở tab mới hoặc tab được điều hướng. Khi sự kiện này xảy ra nó sẽ thực thi một đoạn mã độc từ xa. Nội dung mã độc mới được lấy thông qua Ajax.
Bài viết cũng đã khá dài. Tôi sẽ tiếp tục phân tích đoạn mã độc được thực thi trong phần 2.
Smember
0 Hỏi đáp