Những ngày gần đây, Facebook lây lan một loại malware mới thông qua Messenger. Đã có hơn 267.000 nạn nhân trên Facebook. Khi tải và mở tập tin này, người dùng sẽ bị nhiễm mã độc và trở thành nguồn lây lan.
   

Loại Malware mới này có tên tập tin có dạng: video_XXX.zip hoặc sex_video_XXX.zip. Khi giải nén file ZIP này ra sẽ được một tập tin có tên dạng: Video.XXX.mp4.exe, trong đó, XXX là các số ngẫu nhiên. Theo phân tích của các chuyên gia về An toàn thông tin của ITC JSC và J2Team, tỉ lệ phát hiện từ VirusTotal là 32/68. Dựa theo tên định danh của một số AV và kết quả phân tích của ExeInfo PE thì tập tin EXE này được viết bằng AutoIt.   

 

Theo thông tin hành vi của loại malware được phân tích bởi VirusTotal này, có thể thấy một số hành động khả nghi. Loại mã độc này tạo ra một tập tin với tên GoogleUpdater.exe - giả mạo trình cập nhật của trình duyệt Google Chrome. Sau đó, thực thi lệnh để mở trình duyệt Chrome với những tham số đặc biệt, trong đó có thể thấy loại malware này vô hiệu thanh hiển thị thông tin của Chrome và cài đặt thêm một extension mới. Loại malware này còn thực hiện một truy vấn HTTP tới một URL được chỉ định, sử dụng một User-Agent tùy chỉnh ("Miner").  

Phân tích chi tiết malware: Downloader Loại malware này được viết bằng ngôn ngữ AutoIt, thực hiện việc dịch ngược bằng các công cụ phổ biến, mã nguồn đã bị Obfuscate. ITC JSC và J2Team đã deobfuscate bằng cách tận dụng chính một hàm trong mã nguồn của loại malware này.

Dựa theo mã nguồn, hoạt động của loại malware này như sau:

  • Tải config từ server. File config này chỉ đọc được nếu truy vấn có User-Agent là "Miner". Nếu không, kết quả trả về sẽ là chuỗi "denied".
  • Tải về những file được chỉ định trong config
  • Sao chép chính loại malware (file EXE) vào đường dẫn: C:\Users\\AppData\Roaming\\GoogleUpdater.exe (sử dụng tên file giả mạo trình cập nhật Google Chrome)
  • Tạo khóa register để tự động chạy khi Windows khởi động. Đồng thời đóng tiến trình chrome.exe
  • Thay đổi toàn bộ lối tắt (shortcut) các chương trình đang có trên Taskbar thành shortcut của Chrome với một vài tham số đặc biệt để cài đặt thêm extension chứa mã độc.
  • Thực thi tiến trình đào tiền ảo (chạy nền).
Phân tích chi tiết malware: Extension Dựa theo thông tin từ phần trên, các tập tin được tải về thuộc thành phần của một extension là:
  • manifest.json
  • background.js
  • jquery.min.js
Trong đó, manifest.json là file khai báo thông tin cho extension. File jQuery được tải thẳng từ CDN của Google (ajax.googleapis.com) nên hiển nhiên là an toàn. Vậy nên chúng ta sẽ phân tích ngay tập tin quan trọng nhất: background.js

Hàm đầu tiên để khóa các tab có protocol bắt đầu bằng chrome:, có thể đoán được là muốn ngăn người dùng truy cập chrome://extension để gỡ bỏ extension này.

Sử dụng webRequest API để chặn các endpoint như trong hình trên, dựa theo ngữ nghĩa của các chuỗi, chúng ta có thể thấy mục đích của đoạn code trên là để chặn người dùng xóa, sửa bài viết, bình luận và tin nhắn spam; cập nhật quyền riêng tư; cài đặt công cụ dọn dẹp Chrome hay tải công cụ quét mã độc do Facebook cung cấp.

Đoạn này cho thấy extension sẽ log lại tài khoản Facebook của người dùng. Kịch bản tấn công ở đây là: Xóa toàn bộ cookie của Facebook khiến người dùng đăng xuất > Người dùng đăng nhập lại > Tài khoản được log lại và gửi về server.

Đoạn code cuối trong file background sẽ thay đổi mọi liên kết mà người dùng chia sẻ lên Facebook thành liên kết rút gọn thông qua API của trang won.pe.

Làm thế nào để ngăn chặn malware?

Dựa theo các thông tin ở phần trên, mục tiêu của loại malware này là nhắm vào nhóm đối tượng sử dụng Windows và dùng trình duyệt Google Chrome (hoặc các trình duyệt dựa trên Chromium). Bạn có thể sử dụng J2TEAM Security để được bảo vệ trước loại malware này. Nó sẽ chặn ngay quá trình tải về nếu bạn nhỡ tay nhấn vào liên kết trong Messenger.

Ngoài ra, có thể sử dụng Kaspersky (KIS) và đã cập nhật mẫu malware này. Người dùng lưu ý kiểm tra xem đã có những AV nào nhận diện được mẫu malware này tại đây.

Vậy nếu đã lỡ tay thực thi file EXE, cần làm gì để loại bỏ loại mã độc này?

J2Team và ITC JSC đã viết một đoạn script bằng chính AutoIt để diệt loại malware này. Tải script : https://gist.github.com/J2TeaM/f8960cd4a00ed4323b95194303df9674  


ITCJSC - J2Team