Từ lâu chúng ta vẫn hay gặp phải những vụ tấn công mã độc tràn lan qua Facebook hay Messenger, hầu như năm nào cũng có một vụ như vậy, tin nhắn tự động gửi mà chủ nhân người gửi không hề biết.
Một file tên “video_{4_chữ_số}.zip” được tự động gửi qua giao diện Facebook Messenger, trong file nén đó chứa file thực thi : “video_{random_số}.mp4.exe” với icon hình video. Sau khi lây nhiễm được vào máy tính, mã độc ăn cắp tài khoản Facebook, tiếp tục phát tán thông qua Facebook của họ, đồng thời lợi dụng máy tính đó để chạy phần mềm đào tiền ảo.
Khái quát hành vi mã độc.
Tải file về và mở ra. Trong đó chứa một Chrome extensions và coinminer. Đặc biệt, extension ở đây còn có hành vi ăn cắp tài khoản, mật khẩu Facebook của người dùng, gửi về server của kẻ tấn công.
Copy chính nó.
Và ghi key run.
Tạo shortcut với tham số load-extension cho Chrome.
Chạy chương trình “đào” tiền ảo Monero trên máy bị nhiễm.
Extension được load mỗi khi shortcut Chrome đươc mở, thực hiện tải file config từ server, qua đó tiếp tục hành vi phát tán.
Đoạn code thực hiện gửi thông tin tài khoản, mật khẩu Facebook về server của hacker.
Xem thêm Cách Gỡ Bỏ Mã Độc Virus Tự Động Lây Lan Qua Facebook Messenger
IT VN
