Đâu tiên nên nhắc tới Vì sao khách hàng bị lây nhiễm mã độc một cách hàng loạt. Mã độc lần này rất khôn khéo, nó hầu như chỉ lấy đông đảo những bạn bè có trong danh sách của của bạn mà không phải người ko kể, khiến cho mức độ cảnh giác của bạn đã giảm đi đáng nói khi click vào thông báo.
Chúng tôi sẽ viết yếu tố những bước phân tích mã độc này dưới góc độ của một lập trình viên. Còn trường hợp bạn chẳng hề là một lập trình viên, bài viết này tổng kết được 3 vấn đề sau:
- Mã độc này sẽ đánh cắp quyền tài khoản của bạn (thông qua token của người dùng).
- Mã độc này lây lan qua tính năng "nhắc đến" (mention) của Facebook.
- hiện tại số khách hàng dự tính bị dính mã độc này là ko thể đếm được, chỉ riêng trong đoạn thời gian thực chúng tôi kiểm tra, đã có tới hơn 23 nghìn người bị ảnh hưởng.
- Activity Logs không ghi lại hoạt động nói tới này vì vậy bạn không thể theo dõi được mình có vừa bị dính mã độc hay không.
mẹo gỡ bỏ rất đơn giản: Bạn chỉ phải vào Chrome và:
+ Xóa/remove Extension mà bạn vừa cài
+ Vào Cài đặt (Setting) đưa về cài đặt gốc (default)
Tại thời điểm kiểm tra của chúng tôi, có đến 23.241 người trực tuyến bị dính mã độc này. Con số bị lây nhiễm thực tế có thể cao hơn hầu hết.
Còn trường hợp bạn là lập trình viên, hãy đọc tiếp các đoạn phân tích dưới đây (chúng tôi đã loại bỏ cầu nối để tạo ra mã độc này nhằm đảm bảo an toàn cho độc giả).
Vì là bạn trong Friend List nên bạn mới có thể chấp nhận cài 1 extension ko rõ xuất xứ. đặc biệt không phải có logs trong activity logs.
Bắt tay vào công việc phân tích mã độc: mẫu mã độc này có rất nhiều phiên bản, ngay cả khi phân tích chúng tôi cũng gặp trên dưới 3 mẫu. Về cơ bản chúng đều có nguyên lý giống nhau chúng ta cộng tham khảo nhé
Phần 1. Extension chrome
Hãy giới thiệu từ chính extension mà chúng ta down về
https://chrome.google.com/webstore/detail/buz/cefjoledagalengbpcmgncgfnambhfpi
Tiến hành mổ xẻ cái extension, mở file manifest.json chúng ta thấy ngay cái "scripts":["nevyjkcoidzi"]. Mở file nevyjkcoidzi đập vào mắt là một đống mã lệnh được Obfuscated (Làm rối mã). Điều mà tôi quan tâm đó là người viết ra mã độc này hơi hài hước: ở mỗi mẫu mã độc khác nhau anh ta đều cho khởi chạy sau 1 thời gian nhất định. Ví dụ ở thiết kế độc này 1:57:26 sáng ngày 16/11
trường hợp bạn là một lập trình viên tôi dám chắc bạn ko mấy khó khăn để Deobfuscated đoạn mã trên
lúc này trình duyệt Chrome sẽ lắng nghe đầy đủ các hoạt động ở những tabs của bạn. Bất cứ tabs nào được reload hoặc truy cập mới đều được ghi nhận. Extension gửi đi 1 lời đề nghị để lấy nội ở trang xxx.xyz (chúng tôi đã ẩn để giảm thiểu nguy hiểm cho độc giả)... Sau lúc đoạn lấy được nội dung sẽ được thực thi bởi hàm
window.chrome.tabs.executeScript();
Phần 2. Phân tích đoạn mã được lấy về ở trang xxx.xyz
thứ 1 Extension sẽ kiểm tra đường dẫn ở Tabs mà các bạn đang truy cập giả dụ đúng là Facebook thì tiếp tục thực thi.
Trong đoạn mã này nó đã tìm được hàng loạt các giá trị cần thiết của facebook bao gồm như Userid, fb_dtsg, __rev.
bên cạnh ra nó còn gọi tới hàm blockRemove và hàm start
Hàm blockremove sẽ xóa đoạn mã html để vào trang cài đặt của Facebook.
Hàm Start sẽ khai báo những thiết lập và gọi các hàm bao gồm như arkadas, privacySetting, tokencek
Hàm arkadas lấy danh sách bạn bè của bạn
Hàm này lấy số đông bạn bè của bạn để tạo thành danh sách để "Nhắc đến" ( Mentions )
Hàm privacySetting
Hàm privacySetting sẽ chiếc bỏ chế độ hiển thị bài viết ( Công Khai, Bạn bè, Chỉ mình tôi) trên tường của bạn.
Hàm tokencek
Đoạn bôi vàng rất quan trọng, nó sẽ được lưu lại trên máy chủ của người tạo ra mã độc. Một lúc Token của bạn bị đánh cắp đồng nghĩ với việc nhiều nguy cơ tiềm ẩn có thể hoạt động mà bạn không phải biết.
ko kể ra còn có hàm quan trọng như hàm Comment, Like và một vài hàm hỗ trợ khác mà chúng tôi chỉ nêu ra.
Hàm comment để "nhắc đến" ( MenTions )
Hàm Like
Tại thời điểm kiểm tra của chúng tôi, có đến 23.241 người trực tuyến bị dính mã độc này. Con số bị lây nhiễm thực tế có thể cao hơn hầu hết.
Tại thời điểm kiểm tra của chúng tôi, có đến 23.241 người trực tuyến bị dính mã độc này. Con số bị lây nhiễm thực tế có thể cao hơn đầy đủ.
Hàm arkadas lấy danh sách bạn bè của bạn
Hàm arkadas lấy danh sách bạn bè của bạn
Hàm privacySetting
Hàm privacySetting
Hàm tokencek
Hàm tokencek
Hàm comment để "nhắc đến" ( MenTions )
Hàm comment để "nhắc đến" ( MenTions )
Hàm Like
Hàm Like
Cảnh báo: Virus giả mạo thông báo cực nguy hiểm vừa xuất hiện trên Facebook
0 nhận xét:
Đăng nhận xét