Một tiện ích mở rộng độc hại của Chrome đang được phát tán trên Facebook thông qua Messenger nhằm đánh cắp thông tin đăng nhập các tài khoản giao dịch và đào tiền số.
Các nhà nghiên cứu lưu ý loại virus này là một biến thể của FacexWorm, xuất hiện lần đầu tiên hồi tháng 8 năm ngoái, với những tính năng độc hại mới.
Tính năng mới bao gồm đánh cắp thông tin tài khoản như Google, trang web tiền ảo, điều hướng nạn nhân đến những trang lừa đảo tiền điện tử, gắn các mã độc đào tiền, đổi đường dẫn của nạn nhân đến liên kết giới thiệu lấy hoa hồng…
Cuối năm vừa qua, các nhà nghiên cứu của Trend Micro đã phát hiện ra một bot tên là Digmine khai thác tiền điện tử Monero. Con bot này lây lan qua Facebook Messenger và nhắm vào các máy tính Windows dùng trình duyệt Google Chrome để đào tiền ảo.
Tương tự như Digmine, FacexWorm cũng phát tán bằng Facebook Messenger thông qua việc gửi liên kết cho bạn bè của nạn nhân. Đây là liên kết giả mạo những trang web video nổi tiếng như Youtube. Nếu người dùng không sử dụng trình duyệt Chrome để vào liên kết, đường dẫn độc hại sẽ chuyển hướng đến một quảng cáo nhìn như vô hại.
Cách thức hoạt động của FacexWorm
Nếu liên kết video độc hại được mở bằng Chrome, FacexWorm sẽ chuyển hướng nạn nhân đến trang Youtube giả và khuyến khích nạn nhân tải xuống tiện ích giả mạo codec để phát tiếp video.
Sau khi được cài đặt, FacexWorm tiếp tục tải thêm các bản mod từ máy chủ để bổ sung thêm nhiều tác vụ độc hại khác nhau.
“FacexWorm là một bản sao của tiện ích mở rộng bình thường trên Chrome, nhưng có những đoạn mã để tải về những JavaScript độc hại từ máy chủ khi trình duyệt được mở”, các nhà nghiên cứu cho biết.
“Mỗi khi nạn nhân mở một trang web mới, FacexWorm sẽ truy vấn máy chủ C&C. Thông qua đó, virus này tìm những mã độc JavaScript được lưu trữ trên Github và thực thi lên trang web người dùng đang truy cập”.
Vì tiện ích mở rộng này được cung cấp toàn bộ quyền khi cài đặt nên có thể truy cập hoặc sửa đổi bất kỳ dữ liệu từ trang web nào người dùng đang mở. Dưới đây là danh sách rút gọn về những gì FacexWorm có thể thực hiện:
- Đánh cắp Access Token tài khoản Facebook của nạn nhân để tự động phát tán link giả mạo YouTube thông qua Messenger.
- Đánh cắp tài khoản Google, MyMonero, Coinhive…
- Gắn những đoạn mã sử dụng CPU máy tính nạn nhân để đào tiền số vào các trang web được truy cập.
- Can thiệp vào các giao dịch liên quan đến tiền điện tử, thay thế địa chỉ nhận tiền của tin tặc để chiếm đoạn từ nạn nhân.
- Khi người dùng truy cập những trang giao dịch tiền số hoặc có những từ khóa như “blockchain”, “eth-“, “ethereum”… trong đường dẫn, FacexWorm chuyển hướng nạn nhân đến những trang lừa đảo hoặc giả mạo để đánh cắp. Các nên tảng được nhắm đến bao gồm Poloniex, HitBTC, Bitfinex, Ethfinex, Binance và Blockchain.info. Để tránh bị phát hiện, virus sẽ tự động đóng tab khi người dùng mở mục quản lý Chrome Extension.
- Tin tặc cũng tự chèn các mã giới thiệu của mình khi nạn nhân đăng ký tài khoản trên Binance, DigitalOcean, FreeBitco.in, FreeDoge.co.in hoặc HashFlare.
Tới thời điểm hiện tại, các chuyên gia tại Trend Micro đã phát hiện FacexWorm can thiệp ít nhất một giao dịch Bitcoin trị giá 2,49 USD. Và không thể thống kê số tiền tin tặc kiếm được từ việc khai thác tiền ảo thông qua trang web người dùng truy cập.
Các đồng tiền số FacexWorm nhắm đến gồm Bitcoin (BTC), Bitcoin Gold (BTG), Bitcoin Cash (BTH), Dash (DASH), ETH, Ethereum Classic (ETC), Ripple (XRP), Litecoin (LTC), Zcash (ZEC) và Monero (XMR).
Các quốc gia và vùng lãnh thổ đã phát hiện virus này bao gồm Đức, Tinisia, Nhật Bản, Đài Loan (Trung Quốc), Hàn Quốc và Tây Ban Nha.
Chrome Web Store đã xóa nhiều tiện ích mở rộng độc hại trước khi được các nhà nghiên cứu Trend Micro thông báo, nhưng tin tặc tiếp tục đăng tải chúng lên lại. Facebook Messenger cũng nỗ lực ngăn chặn các liên kết độc hại và khóa những tài khoản bị ảnh hưởng.
Nhưng việc ngăn chặn vấn nạn spam Facebook chỉ có thể hiệu quả trong trường hợp người dùng nâng cao cảnh giác khi thấy những đường dẫn đáng nghi ngờ.
Theo TheHackerNews