Hãy để ý, ký tự o đầu tiên có 1 dấu chấm nhỏ ở trên đầu

Ngày 17/3, một tên miền sử dụng kí tự Unicode, “nhái” tên miền Facebook đã được đội CyRadar – Ban công nghệ tập đoàn FPT phát hiện.

Khi kiểm tra nội dung website, thực tế cho thấy hacker có vẻ vẫn còn đang chuẩn bị “súng đạn” trước khi tiến hành một chiến dịch tấn công. Đi sâu vào tìm hiểu server này, người viết phát hiện ra đối tượng đang sử dụng 3 file “lạ” để thực hiện chiến dịch của mình, gồm: login.php, hook.js và fbmessenger.exe.

Có 3 file “lạ” trên server có tên miền “nhái” Facebook

Đầu tiên là file “login.php”, đây là một file có giao diện mạo danh Facebook, chứa mã ăn cắp thông tin. Khi người dùng gõ thông tin vào ô đăng nhập này, toàn bộ thông tin sẽ bị hacker lưu lại.

Với tên miền và giao diện này, chắc hẳn nếu không để ý, nhiều người dùng sẽ rất dễ bị lừa

Tiếp đó là file “hook.js”, file này chuyên nhắm vào việc khai thác lỗ hổng các trình duyệt, dựa trên BeEF – Browser Exploitation Framework. Mã khai thác này sẽ tự động nhận diện trình duyệt của người dùng, để từ đó, lựa chọn khai thác lỗ hổng tương ứng, nhằm lây nhiễm mã độc và kiểm soát máy tính và trình duyệt của nạn nhân.

Mã khai thác lỗ hổng trình duyệt

Cuối cùng, là file “fbmessenger.exe”. Đây đích thị là 1 mã độc, được khá nhiều phần mềm diệt virus nhận diện là Trojan, chuyên đánh cắp thông tin.

Cho đến nay, trong 2 tuần xuất hiện website nhái này, chúng tôi không thấy có sự cập nhật thêm “súng đạn” nào nữa. Có 2 khả năng cho tình huống này. Thứ nhất là hacker vẫn còn đang ở khâu chuẩn bị cho 1 chiến dịch sắp tới. Thứ 2 là do hacker đang cấu hình máy chủ web chưa chuẩn, dẫn đến khi truy cập tới địa chỉ web, mọi người có thể nhìn thấy toàn bộ danh sách các file trong thư mục – đáng ra, cần cấu hình để máy chủ hiển thị nội dung của trang lừa đảo login.php mà thôi.

CyRadar với công nghệ Predictive Analytics nhận diện tên miền Facebook lừa đảo

Hiện nay, ngoài CyRadar với công nghệ Predictive Analytics, tên miền lừa đảo này chưa được nhận diện bởi bất kỳ hệ thống bảo mật nào trên thế giới. Người viết khuyến cáo người dùng nên cẩn trọng trong quá trình đăng nhập Facebook (hoặc các ứng dụng khác). Đồng thời, nên thiết lập chế độ xác thức 2 yếu tố (2 factors authentication) để đảm bảo an toàn cho tài khoản của mình.

Nguyễn Minh Đức – CyRadar

Tin liên quan: