Thủ Thuật

Phân tích mã độc Facebook vừa xuất hiện: số người đã bị nhiễm là không thể đo đếm được!

Rate this post

Tiếp nối phần trước của phần này, chúng ta sẽ cùng bạn tìm hiểu hoạt động của loại mã độc mới đang lây lan trên Facebook. Tại thời điểm thử nghiệm của chúng tôi, có tới 23.241 người trực tuyến bị ảnh hưởng bởi mã độc này.

Đầu tiên phải kể đến nguyên nhân khiến bạn bị nhiễm mã độc hàng loạt. Mã độc này rất khôn khéo, nó gần như chỉ lấy đi tất cả những người bạn trong danh sách của bạn mà không phải người ngoài, khiến mức độ cảnh giác của bạn giảm đi đáng kể khi bấm vào thông báo.

Chúng tôi sẽ trình bày chi tiết các bước phân tích mã độc này dưới góc nhìn của một lập trình viên. Và nếu bạn không phải là một lập trình viên, bài viết này tổng hợp 3 vấn đề sau:

– Mã độc này sẽ ăn cắp quyền tài khoản của bạn (thông qua mã thông báo của người dùng).

– Mã độc này lây lan thông qua tính năng “đề cập” của Facebook.

– Hiện tại, số lượng người dùng dự kiến ​​sẽ bị ảnh hưởng bởi mã độc này là không thể đếm được, chỉ tính riêng trong khoảng thời gian thực mà chúng tôi đã thử nghiệm, đã có hơn 23.000 người bị ảnh hưởng.

– Activity Log không ghi lại hoạt động được đề cập này nên bạn không thể theo dõi xem mình có bị nhiễm mã độc hay không.

Cách gỡ bỏ rất đơn giản: Bạn chỉ cần vào Chrome và:

Gỡ bỏ / gỡ bỏ Tiện ích mở rộng bạn vừa cài đặt

Đi tới Cài đặt và quay lại cài đặt mặc định.

 Tại thời điểm thử nghiệm của chúng tôi, có tới 23.241 người trực tuyến bị ảnh hưởng bởi mã độc này. Số ca nhiễm thực tế có thể cao hơn nhiều.

Tại thời điểm thử nghiệm của chúng tôi, có tới 23.241 người trực tuyến bị ảnh hưởng bởi mã độc này. Số ca nhiễm thực tế có thể cao hơn nhiều.

Và nếu bạn là một lập trình viên, hãy đọc tiếp bài phân tích dưới đây (chúng tôi đã gỡ cầu nối tạo ra mã độc này để đảm bảo an toàn cho bạn đọc).

Vì bạn đang ở trong Danh sách bạn bè, bạn có thể chấp nhận cài đặt một tiện ích mở rộng không rõ nguồn gốc. Đặc biệt, không có nhật ký nào trong nhật ký hoạt động.

Bắt tay vào phân tích phần mềm độc hại: Mẫu mã độc này có nhiều phiên bản, thậm chí khi phân tích chúng tôi cũng gặp từ ba loại trở lên. Về cơ bản, chúng đều có chung một nguyên lý, cùng tham khảo nhé

Phần 1. Tiện ích mở rộng của Chrome

Hãy cùng tìm hiểu từ tiện ích mở rộng mà chúng tôi đã tải xuống

https://chrome.google.com/webstore/detail/buz/cefjoledagalengbpcmgncgfnambhfpi

Mổ xẻ mẫu phần mở rộng, mở tệp tin manifest.json, chúng ta thấy ngay dòng “scripts”:[“nevyjkcoidzi”]. Mở tệp nevyjkcoidzi đập vào mắt tôi là một đống mã là Obfuscated (Làm rối mã). Điều tôi nhận thấy là người viết mã độc này khá hài hước: ở mỗi mẫu mã độc khác nhau, anh ta lại tung ra sau một thời gian nhất định. Ví dụ trong mã độc này 1:57:26 sáng ngày 16/11

Nếu bạn là một lập trình viên, tôi chắc chắn rằng bạn sẽ không gặp khó khăn Giải mã mã trên

Bây giờ trình duyệt Chrome sẽ lắng nghe tất cả các hoạt động trong các tab của bạn. Mọi tab mới được tải lại hoặc được truy cập đều được ghi lại. Tiện ích mở rộng gửi yêu cầu lấy nội dung trên trang xxx.xyz (chúng tôi đã ẩn đi để tránh nguy hiểm cho bạn đọc)… Sau khi lấy nội dung xong sẽ được hàm thực thi.

window.chrome.tabs.executeScript ();

Phần 2. Phân tích mã được truy xuất từ ​​trang xxx.xyz

Đầu tiên, Extension sẽ kiểm tra đường dẫn trong các Tab mà bạn đang truy cập, nếu là Facebook thì tiếp tục thực hiện.

Trong đoạn mã này, nó đã tìm thấy một loạt các giá trị facebook cần thiết bao gồm Userid, fb_dtsg, __rev.

Xem thêm:  Xua tan mối nguy mất dữ liệu cho doanh nghiệp với Cloud Backup

Ngoài ra, nó cũng gọi hàm blockRemove và bắt đầu. hàm số

Chức năng blockremove sẽ loại bỏ mã html để vào trang cài đặt Facebook.

Chức năng Start sẽ khai báo các cài đặt và chức năng gọi bao gồm arkadas, privacySetting, tokencek

 Chức năng arkadas lấy danh sách bạn bè của bạn

Chức năng arkadas lấy danh sách bạn bè của bạn

Chức năng này đưa tất cả bạn bè của bạn tạo thành một danh sách để “Đề cập” (Mentions)

 chức năng riêng tư

chức năng riêng tư

Chức năng PrivacySetting sẽ loại bỏ khả năng hiển thị bài đăng (Công khai, Bạn bè, Chỉ tôi) trên tường của bạn.

 Tokencek. hàm số

Tokencek. hàm số

Phân đoạn bị ố vàng rất quan trọng, nó sẽ được lưu trên máy chủ của người tạo phần mềm độc hại. Một khi Token của bạn bị đánh cắp có nghĩa là nhiều nguy cơ tiềm ẩn có thể hoạt động mà bạn không biết.

Ngoài ra còn có các chức năng quan trọng như Bình luận, Thích và một vài chức năng hỗ trợ khác mà chúng tôi vừa nêu.

 Chức năng bình luận cần đề cập (MenTions)

Chức năng bình luận để “đề cập” (MenTions)

 Thích chức năng

Thích chức năng

Cảnh báo: Virus thông báo giả cực kỳ nguy hiểm vừa xuất hiện trên Facebook


Vừa rồi, bạn vừa mới đọc xong bài viết về
Phân tích mã độc Facebook vừa xuất hiện: số người đã bị nhiễm là không thể đo đếm được!

tại Tips Tech.
Hy vọng rằng những kiến thức trong bài viết
Phân tích mã độc Facebook vừa xuất hiện: số người đã bị nhiễm là không thể đo đếm được!

sẽ làm cho bạn để tâm hơn tới vấn đề
Phân tích mã độc Facebook vừa xuất hiện: số người đã bị nhiễm là không thể đo đếm được!

hiện nay.
Hãy cũng với Tip Techs khám phá thêm nhiều bài viết về
Phân tích mã độc Facebook vừa xuất hiện: số người đã bị nhiễm là không thể đo đếm được!

nhé.

Bài viết
Phân tích mã độc Facebook vừa xuất hiện: số người đã bị nhiễm là không thể đo đếm được!

đăng bởi vào ngày 2022-06-30 03:12:45. Cảm ơn bạn đã bỏ thời gian đọc bài tại Tips Tech

Nguồn: genk.vn

Xem thêm về
Phân tích mã độc Facebook vừa xuất hiện: số người đã bị nhiễm là không thể đo đếm được!

#Phân #tích #mã #độc #Facebook #vừa #xuất #hiện #số #người #đã #bị #nhiễm #là #không #thể #đo #đếm #được
Tiếp nối phần trước phần này chúng tôi sẽ cùng các bạn tìm hiểu hoạt động của mã độc mới đang lây lan trên Facebook. Tại thời điểm kiểm tra của chúng tôi, có tới 23.241 người trực tuyến bị dính mã độc này.

#Phân #tích #mã #độc #Facebook #vừa #xuất #hiện #số #người #đã #bị #nhiễm #là #không #thể #đo #đếm #được

Đâu tiên phải kể đến nguyên nhân các bạn bị lây nhiễm mã độc một cách hàng loạt. Mã độc lần này rất khôn khéo, nó hầu như chỉ lấy toàn bộ những bạn bè có trong danh sách của của bạn mà không phải người ngoài, khiến cho mức độ cảnh giác của bạn đã giảm đi đáng kể khi click vào thông báo.

Chúng tôi sẽ viết chi tiết các bước phân tích mã độc này dưới góc độ của một lập trình viên. Còn nếu bạn không phải là một lập trình viên, bài viết này tổng kết được 3 vấn đề sau:

– Mã độc này sẽ đánh cắp quyền tài khoản của bạn (thông qua token của người dùng).

– Mã độc này lây lan qua tính năng “nhắc đến” (mention) của Facebook.

– Hiện tại số người dùng dự tính bị dính mã độc này là không thể đếm được, chỉ riêng trong đoạn thời gian thực chúng tôi kiểm tra, đã có tới hơn 23 nghìn người bị ảnh hưởng.

– Activity Logs không ghi lại hoạt động nhắc đến này do đó bạn không thể theo dõi được mình có vừa bị dính mã độc hay không.

Cách gỡ bỏ rất đơn giản: Bạn chỉ cần vào Chrome và:

Xóa/remove Extension mà bạn vừa cài
Vào Cài đặt (Setting) đưa về cài đặt gốc (default)
 

Tại thời điểm kiểm tra của chúng tôi, có tới 23.241 người trực tuyến bị dính mã độc này. Con số bị lây nhiễm thực tế có thể cao hơn rất nhiều.

Xem thêm:  Những thủ thuật Microsoft Edge mà có thể bạn cần biết (Phần 2)

Còn nếu bạn là lập trình viên, hãy đọc tiếp những đoạn phân tích dưới đây (chúng tôi đã loại bỏ cầu nối để tạo ra mã độc này nhằm đảm bảo an toàn cho độc giả).

Vì là bạn trong Friend List nên bạn mới có thể chấp nhận cài 1 extension không rõ nguồn gốc. Đặc biệt không hề có logs trong activity logs.

Bắt tay vào công việc phân tích mã độc: Mẫu mã độc này có rất nhiều phiên bản, ngay cả lúc phân tích chúng tôi cũng gặp trên dưới 3 loại. Về cơ bản chúng đều có nguyên lý giống nhau chúng ta cùng tham khảo nhé

Phần 1. Extension chrome

Hãy tìm hiểu từ chính extension mà chúng ta down về

https://chrome.google.com/webstore/detail/buz/cefjoledagalengbpcmgncgfnambhfpi

Tiến hành mổ xẻ mẫu extension, mở file manifest.json chúng ta thấy ngay dòng “scripts”:[“nevyjkcoidzi”]. Mở file nevyjkcoidzi đập vào mắt là một đống mã lệnh được Obfuscated (Làm rối mã). Điều mà tôi chú ý đó là người viết ra mã độc này khá hài hước: ở mỗi mẫu mã độc khác nhau anh ta đều cho khởi chạy sau 1 thời gian nhất định. Ví dụ ở mẫu mã độc này 1:57:26 sáng ngày 16/11

Nếu bạn là một lập trình viên tôi dám chắc bạn không mấy khó khăn để Deobfuscated đoạn mã trên

Lúc này trình duyệt Chrome sẽ lắng nghe toàn bộ các hoạt động ở các tabs của bạn. Bất cứ tabs nào được reload hoặc truy cập mới đều được ghi nhận. Extension gửi đi 1 lời yêu cầu để lấy nội ở trang xxx.xyz (chúng tôi đã ẩn để tránh nguy hiểm cho độc giả)… Sau khi đoạn lấy được nội dung sẽ được thực thi bởi hàm
 

window.chrome.tabs.executeScript();

 

Phần 2. Phân tích đoạn mã được lấy về ở trang xxx.xyz

Đầu tiên Extension sẽ kiểm tra đường dẫn ở Tabs mà các bạn đang truy cập nếu đúng là Facebook thì tiếp tục thực thi.

Trong đoạn mã này nó đã tìm được hàng loạt các giá trị cần thiết của facebook bao gồm như Userid, fb_dtsg, __rev.

Ngoài ra nó còn gọi đến hàm blockRemove và hàm start

Hàm blockremove sẽ xóa đoạn mã html để vào trang cài đặt của Facebook.

Hàm Start sẽ khai báo các thiết lập và gọi các hàm bao gồm như arkadas, privacySetting, tokencek

Hàm arkadas lấy danh sách bạn bè của bạn

 Hàm này lấy toàn bộ bạn bè của bạn để tạo thành danh sách để “Nhắc đến” ( Mentions )

Hàm privacySetting 

Hàm privacySetting sẽ loại bỏ chế độ hiển thị bài viết ( Công Khai, Bạn bè, Chỉ mình tôi) trên tường của bạn.

Hàm tokencek

 Đoạn bôi vàng rất quan trọng, nó sẽ được lưu lại trên máy chủ của người tạo ra mã độc. Một khi Token của bạn bị đánh cắp đồng nghĩ với việc nhiều nguy cơ tiềm ẩn có thể hoạt động mà bạn không hề biết.

 Ngoài ra còn có hàm quan trọng như hàm Comment, Like và một vài hàm hỗ trợ khác mà chúng tôi chỉ nêu ra.

Hàm comment để “nhắc đến” ( MenTions )

Hàm Like

 

 

Cảnh báo: Virus giả mạo thông báo cực nguy hiểm vừa xuất hiện trên Facebook

#Phân #tích #mã #độc #Facebook #vừa #xuất #hiện #số #người #đã #bị #nhiễm #là #không #thể #đo #đếm #được
Tiếp nối phần trước phần này chúng tôi sẽ cùng các bạn tìm hiểu hoạt động của mã độc mới đang lây lan trên Facebook. Tại thời điểm kiểm tra của chúng tôi, có tới 23.241 người trực tuyến bị dính mã độc này.

#Phân #tích #mã #độc #Facebook #vừa #xuất #hiện #số #người #đã #bị #nhiễm #là #không #thể #đo #đếm #được

Đâu tiên phải kể đến nguyên nhân các bạn bị lây nhiễm mã độc một cách hàng loạt. Mã độc lần này rất khôn khéo, nó hầu như chỉ lấy toàn bộ những bạn bè có trong danh sách của của bạn mà không phải người ngoài, khiến cho mức độ cảnh giác của bạn đã giảm đi đáng kể khi click vào thông báo.

Chúng tôi sẽ viết chi tiết các bước phân tích mã độc này dưới góc độ của một lập trình viên. Còn nếu bạn không phải là một lập trình viên, bài viết này tổng kết được 3 vấn đề sau:

Xem thêm:  Hướng dẫn cách viết công thức Hóa học trong Microsoft Word

– Mã độc này sẽ đánh cắp quyền tài khoản của bạn (thông qua token của người dùng).

– Mã độc này lây lan qua tính năng “nhắc đến” (mention) của Facebook.

– Hiện tại số người dùng dự tính bị dính mã độc này là không thể đếm được, chỉ riêng trong đoạn thời gian thực chúng tôi kiểm tra, đã có tới hơn 23 nghìn người bị ảnh hưởng.

– Activity Logs không ghi lại hoạt động nhắc đến này do đó bạn không thể theo dõi được mình có vừa bị dính mã độc hay không.

Cách gỡ bỏ rất đơn giản: Bạn chỉ cần vào Chrome và:

Xóa/remove Extension mà bạn vừa cài
Vào Cài đặt (Setting) đưa về cài đặt gốc (default)
 

Tại thời điểm kiểm tra của chúng tôi, có tới 23.241 người trực tuyến bị dính mã độc này. Con số bị lây nhiễm thực tế có thể cao hơn rất nhiều.

Còn nếu bạn là lập trình viên, hãy đọc tiếp những đoạn phân tích dưới đây (chúng tôi đã loại bỏ cầu nối để tạo ra mã độc này nhằm đảm bảo an toàn cho độc giả).

Vì là bạn trong Friend List nên bạn mới có thể chấp nhận cài 1 extension không rõ nguồn gốc. Đặc biệt không hề có logs trong activity logs.

Bắt tay vào công việc phân tích mã độc: Mẫu mã độc này có rất nhiều phiên bản, ngay cả lúc phân tích chúng tôi cũng gặp trên dưới 3 loại. Về cơ bản chúng đều có nguyên lý giống nhau chúng ta cùng tham khảo nhé

Phần 1. Extension chrome

Hãy tìm hiểu từ chính extension mà chúng ta down về

https://chrome.google.com/webstore/detail/buz/cefjoledagalengbpcmgncgfnambhfpi

Tiến hành mổ xẻ mẫu extension, mở file manifest.json chúng ta thấy ngay dòng “scripts”:[“nevyjkcoidzi”]. Mở file nevyjkcoidzi đập vào mắt là một đống mã lệnh được Obfuscated (Làm rối mã). Điều mà tôi chú ý đó là người viết ra mã độc này khá hài hước: ở mỗi mẫu mã độc khác nhau anh ta đều cho khởi chạy sau 1 thời gian nhất định. Ví dụ ở mẫu mã độc này 1:57:26 sáng ngày 16/11

Nếu bạn là một lập trình viên tôi dám chắc bạn không mấy khó khăn để Deobfuscated đoạn mã trên

Lúc này trình duyệt Chrome sẽ lắng nghe toàn bộ các hoạt động ở các tabs của bạn. Bất cứ tabs nào được reload hoặc truy cập mới đều được ghi nhận. Extension gửi đi 1 lời yêu cầu để lấy nội ở trang xxx.xyz (chúng tôi đã ẩn để tránh nguy hiểm cho độc giả)… Sau khi đoạn lấy được nội dung sẽ được thực thi bởi hàm
 

window.chrome.tabs.executeScript();

 

Phần 2. Phân tích đoạn mã được lấy về ở trang xxx.xyz

Đầu tiên Extension sẽ kiểm tra đường dẫn ở Tabs mà các bạn đang truy cập nếu đúng là Facebook thì tiếp tục thực thi.

Trong đoạn mã này nó đã tìm được hàng loạt các giá trị cần thiết của facebook bao gồm như Userid, fb_dtsg, __rev.

Ngoài ra nó còn gọi đến hàm blockRemove và hàm start

Hàm blockremove sẽ xóa đoạn mã html để vào trang cài đặt của Facebook.

Hàm Start sẽ khai báo các thiết lập và gọi các hàm bao gồm như arkadas, privacySetting, tokencek

Hàm arkadas lấy danh sách bạn bè của bạn

 Hàm này lấy toàn bộ bạn bè của bạn để tạo thành danh sách để “Nhắc đến” ( Mentions )

Hàm privacySetting 

Hàm privacySetting sẽ loại bỏ chế độ hiển thị bài viết ( Công Khai, Bạn bè, Chỉ mình tôi) trên tường của bạn.

Hàm tokencek

 Đoạn bôi vàng rất quan trọng, nó sẽ được lưu lại trên máy chủ của người tạo ra mã độc. Một khi Token của bạn bị đánh cắp đồng nghĩ với việc nhiều nguy cơ tiềm ẩn có thể hoạt động mà bạn không hề biết.

 Ngoài ra còn có hàm quan trọng như hàm Comment, Like và một vài hàm hỗ trợ khác mà chúng tôi chỉ nêu ra.

Hàm comment để “nhắc đến” ( MenTions )

Hàm Like

 

 

Cảnh báo: Virus giả mạo thông báo cực nguy hiểm vừa xuất hiện trên Facebook

Trần Tiến

Tôi là một người yêu công nghệ và đã có hơn 5 năm trong việc mày mò về máy tính. Mong rằng những chia sẻ về thông tin và thủ thuật công nghệ của tôi hữu ích đối với bạn.
Back to top button