Mã độc nguy hiểm ẩn mình trong những file video giả mạo đang phát tán mạnh qua Facebook Messenger và ảnh hưởng đến người dùng Việt Nam những ngày gần đây. Dưới đây là những phân tích chuyên sâu về đặc điểm hành vi của loại mã độc này cũng như những khuyến nghị dành cho các cá nhân và tổ chức đến từ báo cáo phân tích của công ty cổ phần an toàn thông tin CyRadar

Hiện tượng lây lan

Trong 48h qua, một dòng mã độc mới xuất hiện và đang phát tán mạnh mẽ qua Facebook Messenger.

Cụ thể, một file tên “video_{4_chữ_số}.zip” được tự động gửi qua giao diện Facebook Messenger, trong file nén đó chứa file thực thi : “video_{random_số}.mp4.exe” với icon hình video.

File chứa mã độc

 

Cách thức lây lan ở đây không hề mới, nhưng cũng như các chiến dịch phát tán qua mạng xã hội, hay các ứng dụng chat phổ biến khác, mã độc lần này có tốc độ lan rộng nhanh nhờ tính kết nối của Facebook và đặc tính tính tò mò, thiếu cảnh giác của phần đông người sử dụng.

Hành vi của mã độc

Sơ đồ các hành vi chính của mã độc

Người dùng Facebook, sau khi tải file zip về, nếu thực thi file exe (giả mạo mp4) bên trong đó, mã độc sẽ được cài đặt lên máy theo các bước chính sau:

Bước 1: Tải file trên server về và bung ra. Trong đó chứa một Chrome extensions và coinminer

Bước 2: Copy chính nó và ghi key run

Bước 3: Tạo shortcut với tham số load-extension cho Chrome

Bước 4: Chạy chương trình “đào” tiền ảo Monero trên máy bị nhiễm

Bước 5: Extension được load mỗi khi shortcut Chrome đươc mở, thực hiện tải file config từ server, qua đó tiếp tục hành vi phát tán.

Đặc biệt, extension ở đây còn có hành vi ăn cắp tài khoản, mật khẩu Facebook của người dùng, gửi về server của kẻ tấn công:

Đoạn code thực hiện gửi thông tin tài khoản, mật khẩu Facebook về server của hacker

Khuyến cáo dành cho người dùng

* Đối với quản trị mạng của tổ chức, doanh nghiệp: Thực hiện block các domain của kẻ tấn công:

  • *.bigih.bid
  • gepag.pabus.bid
  • uye.io
  • pe

Mở rộng hơn, CyRadar bằng công nghệ MalwareGraph đã khoanh vùng được cả cụm những domain, server liên quan đến kẻ đứng sau chiến dịch tấn công này, những server mà có thể đã/đang/sẽ được sử dụng ở các chiến dịch tấn công khác:

* Đối với người dùng cá nhân:

  • Cảnh giác, không tải, mở các file trong file .zip qua Facebook Messenger trừ khi biết chắc hoặc xác nhận được với người gửi về file này.
  • Đối với những người đã tải và chạy file, (có thể kiểm tra lại trạng thái bị nhiễm bằng cách mở Chrome, nhập vào thanh địa chỉ : chrome://extensions/ và enter để load thử, nếu tab này tự động bị đóng thì nghĩa là máy đã bị nhiễm), tạm thời gỡ bỏ bằng cách: Vào “Start Menu” -> gõ “run” ->  nhập %APPDATA% -> Tìm thư mục có tên trùng với tên user trên máy -> Xóa toàn bộ thư mục này -> Khởi động lại máy.
Thư mục lưu file độc 

Việc xóa thư mục trên sẽ giúp xóa các file độc hại ở cuộc tấn công này, bao gồm cả file extension độc, dẫn đến Chrome sẽ báo lỗi nếu mở từ Shortcut, người dùng có thể khắc phục thông báo lỗi này bằng cách: Bấm chuột phải vào Shortcut vẫn dùng để mở Chrome -> Properties -> xóa đoạn “–enable-automation –disable-infobars –load-extension=” trong ô Target -> Ok

Ngoài ra, để gỡ bỏ toàn vẹn hơn, người dùng nên sử dụng một phần mềm diệt virus của hãng lớn. Đến nay hầu hết các phần mềm diệt virus lớn đều đã cập nhật để nhận diện được mã độc này.

CyRadar, 19-12-2017

Tin liên quan: