Close Menu
FaceXworm techtimes TechTimes.vn FacexWorm tấn công nền tảng giao dịch tiền ảo, phát tán qua Facebook Messenger

FacexWorm tấn công nền tảng giao dịch tiền ảo, phát tán qua Facebook Messenger

9 phút để đọc

Nhóm Giải pháp an toàn mạng của Trend Micro vừa xác định một tiện ích mở rộng của Chrome với tên gọi FacexWorm, nhắm mục tiêu tấn công nền tảng giao dịch tiền ảo và sử dụng Facebook Messenger của người dùng để phát tán. Chrome đã xóa nhiều lần tiện ích mở rộng này trước khi nhận được cảnh báo bởi Trend Micro.

FacexWorm không phải là hình thức tấn công mới. Nó đã được phát hiện vào tháng 8 năm 2017, mặc dù các nguyên tắc hoạt động và mục tiêu tấn công của nó vẫn chưa rõ ràng vào thời điểm đó. Tuy nhiên, ngày 8 tháng 4 vừa qua, Trend Micro nhận thấy có sự tăng đột biến các hoạt động của FacexWorm ở Đức, Tunisia, Nhật Bản, Đài Loan, Hàn Quốc và Tây Ban Nha.

Trend Micro cảnh báo FacexWorm tấn công Facebook Messenger và nền tảng giao dịch tiền ảo
Trend Micro cảnh báo FacexWorm tấn công Facebook Messenger và nền tảng giao dịch tiền ảo

Phân tích của Trend Micro cho thấy khả năng của FacexWorm đang hoạt động và lây lan nhanh chóng. Nó gửi đi các liên kết độc hại thông qua danh sách bạn bè trên Facebook Messenger của người dùng, giống như mã độc Digmine. Nghiêm trọng hơn, nó có thể đánh cắp thông tin đăng nhập mà tin tặc thiết lập sẵn qua FacexWorm, đa số là các nền tảng giao dịch tiền ảo. Nó cũng đưa người dùng đến những trang web lừa đảo để thực hiện các hành vi tống tiền trực tuyến, đánh cắp thông tin nhằm mục đích tấn công vào tài khoản tiền ảo.

Trend Micro hiện chỉ tìm thấy một giao dịch Bitcoin bị tấn công bởi FacexWorm khi kiểm tra địa chỉ web, ví điện tử của kẻ tấn công. Trend Micro chưa thống kê số tiền kẻ tấn công kiếm được từ việc lừa đảo trên web.

Sơ đồ hoạt động của FacexWorm.
Sơ đồ hoạt động của FacexWorm.

Cách thức lây lan

FacexWorm lây lan thông qua các liên kết được gửi bằng Facebook Messenger. Các liên kết chuyển hướng đến một trang YouTube giả mạo, yêu cầu người dùng cài đặt phần mở rộng codec (FacexWorm) để phát video trên trang. Sau đó, nó sẽ yêu cầu đặc quyền truy cập và thay đổi dữ liệu trên trang web đã mở.

FacexWorm đưa người dùng đến trang YouTube giả mạo và yêu cầu cài plugin.
FacexWorm đưa người dùng đến trang YouTube giả mạo và yêu cầu cài plugin.

Sau khi cài đặt và cấp quyền, FacexWorm sẽ tải xuống các mã độc từ máy chủ C&C và mở trang Facebook. Khi tiện ích mở rộng phát hiện Facebook được mở, nó sẽ liên lạc với máy chủ C&C một lần nữa để kiểm tra xem chức năng truyền dữ liệu đã kích hoạt hay chưa.

Liên kết độc hại được gửi qua Facebook Messenger.
Liên kết độc hại được gửi qua Facebook Messenger.

Nếu đã được kích hoạt, FacexWorm sẽ yêu cầu mã thông báo truy cập OAuth từ Facebook. Sau đó, nó thực hiện một chuỗi các truy vấn Facebook tới lấy danh sách bạn bè của tài khoản và gửi các liên kết video YouTube giả mạo tới toàn bộ liên hệ không phân biệt đang trực tuyến hay không hoạt động. Khi được truy cập thông qua các trình duyệt khác với phiên bản dành cho máy tính để bàn của Chrome, liên kết độc hại sẽ chuyển hướng người dùng đến một quảng cáo ngẫu nhiên.

Hành động nguy hiểm

FacexWorm là một bản sao của tiện ích mở rộng thông thường trên Chrome, nhưng được gắn đoạn mã ngắn của chính nó. FacexWorm sẽ tải xuống mã JavaScript bổ sung từ máy chủ C&C khi trình duyệt được mở. Mỗi lần nạn nhân mở một trang web mới, FacexWorm sẽ truy vấn máy chủ C&C của nó để tìm và truy xuất một mã JavaScript khác (được lưu trữ trên kho dữ liệu Github), sau đó thực thi các hành động trên trang web đó.

Lưu lượng truy cập từ máy chủ C&C.
Lưu lượng truy cập từ máy chủ C&C.

Dưới đây là những hành động gây nguy hiểm của FacexWorm:

  • Ăn cắp thông tin đăng nhập tài khoản của người dùng trên Google, MyMonero và Coinhive: Khi FacexWorm phát hiện trang đăng nhập của web đang mở, nó sẽ chèn vào hàm để gửi thông tin đăng nhập tới máy chủ C&C sau khi người dùng điền biểu mẫu và nhấp nút đăng nhập.
  • Lừa đảo tiền điện tử: Khi FacexWorm phát hiện người dùng đang truy cập vào bất kỳ nền tảng giao dịch tiền điện tử nào mà tin tặc nhắm vào hoặc trong từ khóa xuất hiện các từ như “blockchain”, “eth-” hoặc “ethereum” trong URL, nó sẽ chuyển hướng nạn nhân đến trang web lừa đảo. Tại đây, tin tặc sẽ lừa người dùng gửi 0,5 – 10 ether (ETH) đến địa chỉ ví điện tử của kẻ tấn công nhằm mục đích xác minh và hữa sẽ gửi lại 5 – 100 ETH. Người dùng có thể bỏ qua điều này bằng cách đóng tab và mở lại trang đó để khôi phục quyền truy cập bình thường và trang web gốc. Điều này là do tiện ích mở rộng độc hại thiết lập dấu thời gian trong cookie ngăn việc chuyển hướng đến trang lừa đảo trong vòng một giờ. Tuy nhiên, chuyển hướng sẽ tiếp tục nếu trang web nằm trong danh sách quan tâm của FacexWorm được truy cập lại. May mắn thay, Trend Micro vẫn chưa tìm thấy bất kỳ ai đã gửi ETH đến địa chỉ của kẻ tấn công.
  • Sử dụng thiết bị để đào tiền ảo: FacexWorm cũng đưa một trình khai thác (miner) JavaScript vào các trang web được mở bởi nạn nhân. Trình khai thác tiền ảo là một tập lệnh Coinhive được kết nối với kẻ tấn công. Sau khi tập lệnh được cài đặt, trình khai thác được thiết lập sẽ sử dụng 20% công suất CPU của hệ thống trong mỗi luồng và mở 4 luồng để khai thác tiền ảo trên trang web.
  • Tấn công các giao dịch liên quan đến tiền điện tử Hijack: Khi nạn nhân mở trang giao dịch trên một trang web có liên quan đến tiền điện tử, FacexWorm định vị địa chỉ truy cập web và thay thế nó bằng trang khác được chỉ định bởi kẻ tấn công. FacexWorm thực hiện điều này trên các nền tảng giao dịch Poloniex, HitBTC, Bitfinex, Ethfinex, Binance ví Blockchain.info. Các đồng tiền ảo bị nhắm mục tiêu bao gồm Bitcoin (BTC), Bitcoin Gold (BTG), Bitcoin Cash (BCH), Dash (DASH), ETH, Ethereum Classic (ETC), Ripple (XRP), Litecoin (LTC), Zcash (ZEC) Monero (XMR). Khi chúng tôi kiểm tra các địa chỉ giả mạo (cho đến ngày 19 tháng 4), Trend Micro thấy rằng chỉ có một giao dịch Bitcoin trị giá 2,49 USD bị tấn công.
  • Kiếm tiền từ các chương trình giới thiệu liên quan đến tiền điện tử: Nếu nạn nhân truy cập một trang web nằm trong danh sách nhắm tới, FacexWorm sẽ chuyển hướng trang đó đến trang liên kết với nội dung giới thiệu được kẻ tấn công tạo sẵn. Kẻ tấn công sẽ gửi một khuyến khích nhằm lừa nạn nhân đăng ký một tài khoản. Các trang web nằm trong danh sách mục tiêu bao gồm Binance, DigitalOcean, FreeBitco.in, FreeDoge.co.in và HashFlare.
Lời mời tạo tài khoản trên trang giả mạo.
Lời mời tạo tài khoản trên trang giả mạo.
Coinhive độc hại được ẩn trong FacexWorm.
Coinhive độc hại được ẩn trong FacexWorm.
Địa chỉ giả mạo thay thế trang web mà người dùng muốn truy cập.
Địa chỉ giả mạo thay thế trang web mà người dùng muốn truy cập.
BitCoin được chuyển đến tin tặc.
BitCoin được chuyển đến tin tặc.
Các đoạn mã của FacexWorm ẩn dưới trang web.
Các đoạn mã của FacexWorm ẩn dưới trang web.

Cơ chế Persistence

FacexWorm thực hiện một cơ chế để ngăn chặn nạn nhân loại bỏ phần mở rộng độc hại này khỏi trình duyệt. Nếu FacexWorm phát hiện thấy người dùng đang mở trang tiện ích của Chrome thông qua đường dẫn “chrome: // extensions /”, nó sẽ ngay lập tức đóng tab đã mở. Hành vi này ngăn chặn người dùng truy cập vào địa chỉ trang quản lý của Chrome, hình thức này cũng được sử dụng bởi các tiện ích mở rộng khác như botnet DroidClub (mặc dù DroidClub không đóng tab mà thay thế bằng trang quản lý giả).

Các đoạn mã giao tiếp với Chrome của FacexWorm nhằm ngăn chặn việc gỡ bỏ của người dùng.
Các đoạn mã giao tiếp với Chrome của FacexWorm nhằm ngăn chặn việc gỡ bỏ của người dùng.

Phương pháp giảm thiểu thiệt hại

Mặc dù kẻ tấn công sẽ cố gắng tải các tiện ích mở rộng FacexWorm mới lên Google Chrome, Trend Micro nhận thấy rằng chúng vẫn sẽ bị xóa khỏi cửa hàng. Trend Micro thấy rằng Facebook Messenger có thể phát hiện các liên kết độc hại, sử dụng kỹ thuật “phi công nghệ” và ngăn chặn hành vi lan truyền của tài khoản bị ảnh hưởng. Với các kỹ thuật lây lan của FacexWorm, những hành động này sẽ giúp giảm thiêu tác động của nó. Người dùng cũng nên tạo thói quen sử dụng các biện pháp bảo vệ để tránh bị tin tặc tấn công.

Trend Micro đã gửi các phát hiện mới nhất này cho Facebook, mạng xã hội lớn nhất thế giới và đang có mối quan hệ đối tác với chúng tôi. Facebook đã chia sẻ những nỗ lực để chống lại các mối đe dọa như FacexWorm: “Chúng tôi duy trì một số hệ thống tự động để giúp ngăn chặn các liên kết và tệp độc hại xuất hiện trên Facebook và trong Messenger. Nếu chúng tôi nghi ngờ máy tính của bạn bị nhiễm phần mềm độc hại, chúng tôi sẽ cung cấp cho bạn dịch vụ quét virus miễn phí từ các đối tác tin cậy của chúng tôi như Trend Micro. Chúng tôi chia sẻ các mẹo về cách giữ an toàn và liên kết với các máy quét này trên facebook.com/help.”

Các thông tin về FacexWorm:

Hashing CRX liên quan đến FacexWorm (SHA-256):

008c71429e51ae5163fc914a4f0e7157fc0389020ed0a921fe64540467cbb371

3445b059e5e8b1e5a56cc57a38506317bf44035c95a2a053c916ca54017a40e5

22a8c09181a9f6e06d102bbb0d5372560cf3a432fe3c68e6554a81e3083fbc4f

ea5abce0977b31238b715bd08b04808f8ff863134516c085cf5e0403b4268635

026742d5eb89338f639d13e543180043973b531b9004a52391b262337dd5df91

ID tiện ích mở rộng Chrome liên quan đến FacexWorm:

akoefpoebeaikfcpoghppjcnhklffcjm

ecfpnbgianoaiocjciahnkfognimimhf

fanjaialdpcmadoodgppaaaldpccaedc

jolmnflkapibjdpmiiofkopkdgklckll

kojocamkjcbpcnibahfhomfjnliglfeo

 

Tên miền liên quan đến hoạt động lừa đảo của FacexWorm:

video-sig[.]blogspot[.]com

video-goyd[.]blogspot[.]com

vido[.]vigor[.]design

dot[.]filmnag[.]com

filmnag[.]com

Miền C&C liên quan đến FacexWorm:

dirg[.]me

seap[.]co

roes[.]me

ijocire[.]bid

pingli[.]bid

upej[.]date

jsapi[.]me

jsdo[.]bid

uef[.]date

uto[.]date

dnseat[.]us

ikesa[.]date

yci[.]date

Chia sẻ.

Bài viết liên quan