Theo bleepingcomputer, các tài khoản mạng xã hội đặc biệt là những tài khoản đã được xác thực, là mục tiêu hàng đầu đối với các tin tặc, sở dĩ vì chúng có thể sử dụng những tài khoản này cho những hoạt động độc hại khác nhau, điển hình như các hành vi lừa đảo tiền điện tử và phân phối mã độc hại.
Bên cạnh đó, các tài khoản có quyền truy cập vào các nền tảng quảng cáo của mạng xã hội, từ đó cho phép tin tặc sử dụng thông tin đăng nhập bị đánh cắp để chạy quảng cáo độc hại.
Các nhà nghiên cứu tại công ty an ninh mạng Zscaler (Hoa Kỳ) đã theo dõi các hành vi đánh cắp thông tin mới đây cũng như sự lây lan của mã độc FFDroider, đồng thời công bố một bản phân tích kỹ thuật chi tiết vào ngày 6/4/2022 dựa trên các dấu vết gần đây của mã độc này.
Giống như nhiều loại hình mã độc khác, FFDroider lây nhiễm thông qua các phần mềm crack, phần mềm miễn phí, trò chơi và các tệp khác được tải xuống từ các trang web torrent.
Khi thực hiện cài đặt các phần mềm, FFDroider cũng sẽ được cài đặt nhưng được ngụy trang và ẩn giấu thành ứng dụng Telegram trên máy tính để tránh bị phát hiện.
Sau khi khởi chạy, mã độc sẽ tạo một Windows registry có tên là “FFDroider” (cũng là tên của mã độc này).
Hình 1. FFDroider thêm registry trên hệ thống bị nhiễm
Các nhà nghiên cứu tại Zscaler đã xây dựng một lược đồ minh họa luồng tấn công, phương thức mà FFDroider được triển khai trên thiết bị của nạn nhân (Hình 2).
Hình 2. Sự lây nhiễm và quá trình hoạt động của FFDroider
FFDroid nhắm mục tiêu đến cookie và thông tin đăng nhập tài khoản được lưu trữ trong Google Chrome, Mozilla Firefox, Internet Explorer và Microsoft Edge. Ví dụ: mã độc này sẽ đọc và phân tích cú pháp cookie Chromium SQLite và SQLite Credential lưu trữ và giải mã các mục bằng cách lợi dụng Windows Crypt API, cụ thể là CryptUnProtectData function.
Quá trình hoạt động sẽ tương tự đối với các trình duyệt khác, với các chức năng như InternetGetCookieRxW và IEGet ProtectedMode Cookie bị lạm dụng để đánh cắp tất cả cookie được lưu trữ trong trình duyệt Internet Explorer và Edge.
Hình 3. Mã độc thực thi chức năng đánh cắp cookie Facebook từ trình duyệt Internet Explorer
Việc đánh cắp và giải mã dẫn đến tên người dùng và mật khẩu được hiển thị dưới dạng bản rõ, sau đó được gửi thông qua một yêu cầu HTTP POST đến máy chủ C2 (Command and Control). Cụ thế là địa chỉ: http://152.32.228.19/seemorebty.
Hình 4. Lọc dữ liệu bị đánh cắp thông qua POST request
Không giống như nhiều mã độc đánh cắp mật khẩu khác, nhóm tin tặc phát triển của FFDroid không quan tâm đến tất cả thông tin đăng nhập tài khoản được lưu trữ trong trình duyệt web. Thay vào đó, chúng đang tập trung vào việc đánh cắp thông tin đăng nhập cho các tài khoản mạng xã hội và các trang web thương mại điện tử, bao gồm Facebook, Instagram, Amazon, eBay, Etsy, Twitter và thông tin ví WAX Cloud. Mục đích chính là đánh cắp các cookie hợp lệ có thể được sử dụng để xác thực trên các nền tảng này.
HÌnh 5. Đánh cắp cookie Facebook từ trình duyệt
Khi xác thực thành công trên Facebook, FFDroider sẽ lấy tất cả các trang và giấu trang Facebook, số lượng bạn bè của nạn nhân cũng như thông tin thanh toán và phí quảng cáo từ trình quản lý Facebook Ads manager.
Tin tặc có thể sử dụng thông tin này để chạy các chiến dịch quảng cáo lừa đảo trên các nền tảng truyền thông mạng xã hội và phân phối mã độc hại trên nhiều đối tượng khác.
Với Instagram, nếu đăng nhập thành công, FFDroider sẽ mở trang web chỉnh sửa tài khoản để lấy địa chỉ email, số điện thoại di động, tên người dùng, mật khẩu và các thông tin khác của tài khoản.
Hình 6. Cookie Instagram bị đánh cắp
Sau khi có được thông tin và gửi mọi thứ đến máy chủ C2, FFDroid sẽ tập trung vào việc tải xuống các mô-đun bổ sung từ máy chủ của nó vào những khoảng thời gian cố định. Các nhà phân tích của Zscaler chưa cung cấp nhiều thông tin chi tiết về các mô-đun này, nhưng việc có chức năng download khiến mối đe dọa thậm chí còn lớn hơn.
Để phòng tránh loại mã độc này, người dùng không nên cài đặt phần mềm từ các nguồn bất hợp pháp và không xác định. Ngoài ra, có thể thông qua VirusTotal để xác định xem các chương trình chống virus nào có thể phát hiện ra phần mềm tải về là độc hại hay không.
Hình 7. Kiểm tra phần mềm trực tuyến bằng VirusTotal
Đinh Hồng Đạt
10:00 | 08/04/2022
17:00 | 01/04/2022
10:00 | 11/07/2022
09:00 | 17/03/2022
10:00 | 10/04/2024
Bộ Y tế Hoa Kỳ đã đưa ra cảnh báo rằng tin tặc hiện đang sử dụng các chiến thuật lừa đảo để nhắm mục tiêu vào các bộ phận trợ giúp công nghệ thông tin (CNTT) trong lĩnh vực Chăm sóc sức khỏe và Y tế Công cộng.
08:00 | 09/04/2024
Sáng ngày 08/4, tại Hà Nội đã diễn ra Hội nghị thượng đỉnh về Công nghệ thông tin và Nguồn mở châu Á - FOSSASIA Summit 2024. Sự kiện năm nay sẽ diễn ra trong ba ngày 08-10/4 và được tổ chức bởi FOSSASIA, Hiệp hội Internet Việt Nam (VIA), Học viện Công nghệ Bưu chính Viễn thông và Câu lạc bộ phần mềm tự do nguồn mở Việt Nam (VFOSSA).
11:00 | 08/04/2024
Cục An toàn thông tin, Bộ TT&TT vừa công bố cẩm nang một số biện pháp phòng chống, giảm thiểu rủi ro từ tấn công mã hóa tống tiền (ransomware) cho các cơ quan, tổ chức, doanh nghiệp.
12:00 | 01/02/2024
Tình báo Ukraine tuyên bố đã thực hiện thành công một cuộc tấn công mạng nhằm đánh sập máy chủ của Bộ Quốc phòng Nga.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Công ty được mệnh danh là “Google của Trung Quốc” - Baidu cho biết chatbot AI của hãng này, Ernie Bot đã có hơn 200 triệu người dùng trong bối cảnh cạnh tranh ngày càng khốc liệt.
19:00 | 30/04/2024
