Được gọi là FacexWorm, kỹ thuật tấn công này được sử dụng bởi tiện ích mở rộng độc hại đầu tiên xuất hiện vào tháng 8/2017. Đầu năm 2018, nó được phát hiện lây nhiễm trở lại với nhiều tính năng mới, bao gồm: Đánh cắp thông tin tài khoản từ các trang web như Google và các trang web giao dịch tiền ảo; Chuyển hướng nạn nhân đến các trang web giao dịch tiền ảo lừa đảo; Chèn miner trên các trang web để khai thác tiền ảo và chuyển hướng nạn nhân đến liên kết giới thiệu của kẻ tấn công cho các chương trình liên quan đến tiền ảo.
Đây không phải là phần mềm độc hại đầu tiên lạm dụng Facebook Messenger để phát tán. Cuối năm 2017, các nhà nghiên cứu của Trend Micro đã phát hiện ra bot Digmine khai thác tiền ảo Monero lây lan qua Facebook Messenger và nhắm vào các máy tính Windows, trình duyệt Google Chrome để khai thác tiền ảo.
Cách thức hoạt động của phần mềm độc hại FacexWorm
Cũng giống như Digmine, FacexWorm hoạt động bằng cách gửi các liên kết được thiết kế mang tính chất xã hội qua Facebook Messenger tới bạn bè của tài khoản Facebook bị ảnh hưởng, để chuyển hướng nạn nhân đến các phiên bản giả mạo của các trang web phát trực tuyến video phổ biến như YouTube.
Nếu liên kết video độc hại được mở bằng trình duyệt Chrome, FacexWorm sẽ chuyển hướng nạn nhân đến trang YouTube giả. Tại đây, người dùng sẽ được khuyến khích tải xuống tiện ích mở rộng độc hại của Chrome dưới dạng phần mở rộng codec để tiếp tục phát video. Sau khi cài đặt, tiện ích FacexWorm Chrome tải xuống nhiều môđun hơn từ máy chủ C&C để thực hiện các tác vụ độc hại khác nhau.
Sau khi cài đặt tiện ích mở rộng, FacexWorm có thể truy cập hoặc sửa đổi dữ liệu của bất kỳ trang web nào mà người dùng truy cập. Các hành vi mà phần mềm độc hại FacexWorm có thể thực hiện:
- Yêu cầu token truy cập OAuth cho tài khoản Facebook của nạn nhân, từ đó tự động truy cập danh sách bạn bè của nạn nhân và gửi liên kết video độc hại, giả mạo đến họ. Các hành vi này nhằm phát tán mã độc rộng hơn.
- Đánh cắp thông tin đăng nhập tài khoản Google, MyMonero và Coinhive.
- Chèn JavaScript miner để khai thác tiền ảo vào các trang web được nạn nhân truy cập, sử dụng sức mạnh CPU của máy tính nạn nhân để khai thác tiền ảo.
- Thực hiện Session Hijacking để thực hiện các giao dịch liên quan đến tiền ảo mà người dùng thực hiện.
- Kiếm tiền từ các chương trình giới thiệu liên quan đến tiền điện tử.
- Khi phần mềm độc hại phát hiện người dùng đã truy cập một trong 52 sàn giao dịch tiền ảo, hoặc các từ khóa như “blockchain”, “eth-”, hoặc “ethereum” trong URL, FacexWorm sẽ chuyển hướng nạn nhân đến trang web lừa đảo tiền ảo để đánh cắp tiền ảo của người dùng. Các sàn giao dịch được nhắm tới bao gồm Poloniex, HitBTC, Bitfinex, Ethfinex, Binance và ví Blockchain.info.
FacexWorm thực hiện một cơ chế để ngăn chặn nạn nhân xóa phần mở rộng độc hại khỏi trình duyệt. Nếu FacexWorm phát hiện nạn nhân truy cập trang quản lý tiện ích mở rộng của Chrome, ngay lập tức các tab này sẽ được đóng. Hành vi này từng được sử dụng bởi các tiện ích độc hại khác như botnet DroidClub.
Cho đến nay, các nhà nghiên cứu tại Trend Micro phát hiện FacexWorm đã xâm nhập ít nhất một giao dịch Bitcoin (trị giá 2,49 USD). Nhưng không xác định được số lượng tiền ảo kẻ tấn công kiếm được từ việc khai thác web độc hại.
FacexWorm nhắm tới các loại tiền ảo gồm: Bitcoin (BTC), Bitcoin Gold (BTG), Bitcoin Cash (BCH), Dash (DASH), ETH, Ethereum Classic (ETC), Ripple (XRP), Litecoin (LTC), Zcash (ZEC) và Monero (XMR).
FacexWorm đã được tìm thấy ở Đức, Tunisia, Nhật Bản, Đài Loan, Hàn Quốc và Tây Ban Nha. Nhưng bằng hình thức lây nhiễm qua Facebook Messenger, nhiều khả năng nó đã lan rộng trên toàn cầu.
Phương pháp giảm thiểu
Kiểm soát từ cửa hàng Chrome trực tuyến: Mặc dù Google đã xóa nhiều tiện ích mở rộng độc hại trước khi được các nhà nghiên cứu Trend Micro thông báo, nhưng những kẻ tấn công vẫn tiếp tục tải nó lên kho ứng dụng. Cần tăng cường kiểm soát các tiện ích trước khi được công bố tại cửa hàng.
Các nhà nghiên cứu cũng cho biết, Facebook Messenger cũng có thể phát hiện các liên kết độc hại, được thiết kế mang tính chất xã hội và thường xuyên chặn hành vi phát tán đến các tài khoản Facebook bị ảnh hưởng. Vì chiến dịch Facebook Spam khá phổ biến, người dùng nên thận trọng khi nhấp vào liên kết và tệp được cung cấp qua nền tảng mạng xã hội.
Một dấu hiệu nhận biết của FacexWorm Mã băm file CRX của FacexWorm (SHA-256):
Chrome Extension IDs liên quan tới FacexWorm:
Tên miền lừa đảo liên quan đến FacexWorm’s:
Các tên miền C&C liên quan tới FacexWorm:
|
Khang Trần (Theo Trendmicro)
09:00 | 31/05/2018
09:00 | 05/06/2018
07:00 | 09/07/2018
09:00 | 27/07/2018
14:00 | 25/07/2018
09:00 | 28/04/2024
Trong một chiến dịch tấn công gần đây, các tác nhân đe dọa đã lạm dụng chức năng tìm kiếm của GitHub và sử dụng các kho lưu trữ được thiết kế đặc biệt để phát tán phần mềm độc hại nhằm đánh cắp các khoản thanh toán bằng tiền điện tử.
10:00 | 29/03/2024
Một dịch vụ lừa đảo mới có tên là Darcula sử dụng 20.000 tên miền để giả mạo thương hiệu và đánh cắp thông tin xác thực từ người dùng Android và iPhone tại hơn 100 quốc gia thông qua iMessage.
10:00 | 28/03/2024
Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.
10:00 | 13/03/2024
Các nhà nghiên cứu của công ty bảo mật đám mây Zscaler (Hoa Kỳ) cho biết, kể từ tháng 12/2023 các tác nhân đe dọa đã tạo ra các trang web giả mạo phần mềm họp trực tuyến phổ biến như Google Meet, Skype và Zoom để phát tán Trojan truy cập từ xa (RAT), bao gồm SpyNote RAT cho nền tảng Android, NjRAT và DCRat trên Windows.
Lợi dụng lỗ hổng CVE-2024-27956 (có điểm 9,9) trong plugin WP Automatic của WordPress, tin tặc có thể tấn công hơn 30.000 trang web bằng cách tạo tài khoản người dùng với đặc quyền quản trị và cài đặt backdoor để truy cập lâu dài.
10:00 | 13/05/2024