Theo bleepingcomputer, các tài khoản mạng xã hội đặc biệt là những tài khoản đã được xác thực, là mục tiêu hàng đầu đối với các tin tặc, sở dĩ vì chúng có thể sử dụng những tài khoản này cho những hoạt động độc hại khác nhau, điển hình như các hành vi lừa đảo tiền điện tử và phân phối mã độc hại.
Bên cạnh đó, các tài khoản có quyền truy cập vào các nền tảng quảng cáo của mạng xã hội, từ đó cho phép tin tặc sử dụng thông tin đăng nhập bị đánh cắp để chạy quảng cáo độc hại.
Các nhà nghiên cứu tại công ty an ninh mạng Zscaler (Hoa Kỳ) đã theo dõi các hành vi đánh cắp thông tin mới đây cũng như sự lây lan của mã độc FFDroider, đồng thời công bố một bản phân tích kỹ thuật chi tiết vào ngày 6/4/2022 dựa trên các dấu vết gần đây của mã độc này.
Giống như nhiều loại hình mã độc khác, FFDroider lây nhiễm thông qua các phần mềm crack, phần mềm miễn phí, trò chơi và các tệp khác được tải xuống từ các trang web torrent.
Khi thực hiện cài đặt các phần mềm, FFDroider cũng sẽ được cài đặt nhưng được ngụy trang và ẩn giấu thành ứng dụng Telegram trên máy tính để tránh bị phát hiện.
Sau khi khởi chạy, mã độc sẽ tạo một Windows registry có tên là “FFDroider” (cũng là tên của mã độc này).
Hình 1. FFDroider thêm registry trên hệ thống bị nhiễm
Các nhà nghiên cứu tại Zscaler đã xây dựng một lược đồ minh họa luồng tấn công, phương thức mà FFDroider được triển khai trên thiết bị của nạn nhân (Hình 2).
Hình 2. Sự lây nhiễm và quá trình hoạt động của FFDroider
FFDroid nhắm mục tiêu đến cookie và thông tin đăng nhập tài khoản được lưu trữ trong Google Chrome, Mozilla Firefox, Internet Explorer và Microsoft Edge. Ví dụ: mã độc này sẽ đọc và phân tích cú pháp cookie Chromium SQLite và SQLite Credential lưu trữ và giải mã các mục bằng cách lợi dụng Windows Crypt API, cụ thể là CryptUnProtectData function.
Quá trình hoạt động sẽ tương tự đối với các trình duyệt khác, với các chức năng như InternetGetCookieRxW và IEGet ProtectedMode Cookie bị lạm dụng để đánh cắp tất cả cookie được lưu trữ trong trình duyệt Internet Explorer và Edge.
Hình 3. Mã độc thực thi chức năng đánh cắp cookie Facebook từ trình duyệt Internet Explorer
Việc đánh cắp và giải mã dẫn đến tên người dùng và mật khẩu được hiển thị dưới dạng bản rõ, sau đó được gửi thông qua một yêu cầu HTTP POST đến máy chủ C2 (Command and Control). Cụ thế là địa chỉ: http://152.32.228.19/seemorebty.
Hình 4. Lọc dữ liệu bị đánh cắp thông qua POST request
Không giống như nhiều mã độc đánh cắp mật khẩu khác, nhóm tin tặc phát triển của FFDroid không quan tâm đến tất cả thông tin đăng nhập tài khoản được lưu trữ trong trình duyệt web. Thay vào đó, chúng đang tập trung vào việc đánh cắp thông tin đăng nhập cho các tài khoản mạng xã hội và các trang web thương mại điện tử, bao gồm Facebook, Instagram, Amazon, eBay, Etsy, Twitter và thông tin ví WAX Cloud. Mục đích chính là đánh cắp các cookie hợp lệ có thể được sử dụng để xác thực trên các nền tảng này.
HÌnh 5. Đánh cắp cookie Facebook từ trình duyệt
Khi xác thực thành công trên Facebook, FFDroider sẽ lấy tất cả các trang và giấu trang Facebook, số lượng bạn bè của nạn nhân cũng như thông tin thanh toán và phí quảng cáo từ trình quản lý Facebook Ads manager.
Tin tặc có thể sử dụng thông tin này để chạy các chiến dịch quảng cáo lừa đảo trên các nền tảng truyền thông mạng xã hội và phân phối mã độc hại trên nhiều đối tượng khác.
Với Instagram, nếu đăng nhập thành công, FFDroider sẽ mở trang web chỉnh sửa tài khoản để lấy địa chỉ email, số điện thoại di động, tên người dùng, mật khẩu và các thông tin khác của tài khoản.
Hình 6. Cookie Instagram bị đánh cắp
Sau khi có được thông tin và gửi mọi thứ đến máy chủ C2, FFDroid sẽ tập trung vào việc tải xuống các mô-đun bổ sung từ máy chủ của nó vào những khoảng thời gian cố định. Các nhà phân tích của Zscaler chưa cung cấp nhiều thông tin chi tiết về các mô-đun này, nhưng việc có chức năng download khiến mối đe dọa thậm chí còn lớn hơn.
Để phòng tránh loại mã độc này, người dùng không nên cài đặt phần mềm từ các nguồn bất hợp pháp và không xác định. Ngoài ra, có thể thông qua VirusTotal để xác định xem các chương trình chống virus nào có thể phát hiện ra phần mềm tải về là độc hại hay không.
Hình 7. Kiểm tra phần mềm trực tuyến bằng VirusTotal
Đinh Hồng Đạt
10:00 | 08/04/2022
17:00 | 01/04/2022
10:00 | 11/07/2022
09:00 | 17/03/2022
16:00 | 25/11/2024
Sáng ngày 25/11/2024, tại Hà Nội, Báo điện tử Đảng Cộng sản Việt Nam phối hợp với Tổng cục Quản lý thị trường, Tổng cục Hải quan, Hiệp hội Chống hàng giả và bảo vệ thương hiệu Việt Nam, Cục Sở hữu trí tuệ, Công ty cổ phần VNET và các cơ quan, đơn vị liên quan tổ chức lễ phát động Cuộc thi "Chống hàng giả và lừa đảo trực tuyến" và Chương trình trao thưởng “Cào tem chống giả - Nhận ngay may mắn”.
17:00 | 20/11/2024
Sáng 20/11, tại Hà Nội, Học viện Kỹ thuật mật mã, Ban Cơ yếu Chính phủ đã long trọng tổ chức Lễ kỷ niệm 42 năm ngày Nhà giáo Việt Nam (20/11/1982 - 20/11/2024) và 20 năm đào tạo ngành An toàn thông tin. Thiếu tướng Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ tới dự và phát biểu chúc mừng.
07:00 | 01/11/2024
Trong hai ngày 30, 31/10, tại Hà Nội, Cục Viễn thông và Cơ yếu Bộ Công an đã tổ chức Hội thi Kỹ thuật nghiệp vụ mật mã lực lượng Cơ yếu Công an nhân dân năm 2024, với sự tham gia của 136 tuyển thủ xuất sắc đại diện cho 68 cơ quan công an các đơn vị, địa phương trên toàn quốc thi đua, tranh tài.
10:00 | 30/10/2024
Việc đăng nhập bằng Google hay Facebook tuy tiện lợi, giúp người dùng tiết kiệm thời gian khi không cần phải tạo tài khoản mới trên nhiều trang web, nhưng điều này cũng tiềm ẩn những rủi ro đáng lo ngại.
Nghị định 147/2024/NĐ-CP được cho sẽ là giải pháp giúp ngăn chặn vi phạm trên không gian mạng, đảm bảo tính chính danh, rõ ràng hơn trên các nền tảng và chống lừa đảo trực tuyến.
10:00 | 21/11/2024
Nhân dịp Kỷ niệm 80 năm Ngày thành lập Quân đội nhân dân Việt Nam (22/12/1944 - 22/12/2024) và 35 năm Ngày hội Quốc phòng toàn dân (22/12/1989 - 22/12/2024), Ban Cơ yếu Chính phủ tổ chức các hoạt động tri ân tại tỉnh Quảng Ninh.
09:00 | 14/11/2024
Theo Tổ chức Thương mại thế giới (WTO), trí tuệ nhân tạo (AI) có thể giảm chi phí giao dịch, thay đổi ngành dịch vụ, thúc đẩy thương mại liên quan đến AI và định hình lại lợi thế cạnh tranh của các quốc gia.
17:00 | 29/11/2024