Chủ Nhật, 22 tháng 11, 2015

Tìm hiểu mã độc Fb mới vừa được phát hiện: tổng số lư��ng người đã bị nhiễm là không thể đo đếm được!

19:42 Mi Mi No comments

Đâu tiên nên nói tới Lý do quý khách bị lây nhiễm mã độc một phương thức hàng loạt. Mã độc lần này rất khôn khéo, nó hầu như chỉ lấy gần như những bạn bè có trong danh sách của của bạn mà ko phải người ngoài, làm cho mức độ cảnh giác của bạn đã giảm đi đáng đề cập khi click vào thông báo.

Chúng tôi sẽ viết khía cạnh những bước phân tích mã độc này dưới góc độ của một lập trình viên. Còn ví như bạn chẳng hề là một lập trình viên, bài viết này tổng kết được 3 vấn đề sau:

- Mã độc này sẽ đánh cắp quyền tài khoản của bạn (thông qua token của người dùng).

- Mã độc này lây lan qua tính năng "nhắc đến" (mention) của Facebook.

- hiện tại số người dùng dự tính bị dính mã độc này là không thể đếm được, chỉ riêng trong đoạn thời gian thực chúng tôi kiểm tra, đã có tới hơn 23 nghìn người bị ảnh hưởng.

- Activity Logs ko ghi lại hoạt động nhắc tới này bởi vậy bạn không thể theo dõi được mình có vừa bị dính mã độc hay không.

mẹo gỡ bỏ vô cùng đơn giản: Bạn chỉ phải vào Chrome và:

+ Xóa/remove Extension mà bạn vừa cài
+ Vào Cài đặt (Setting) đưa về cài đặt gốc (default)

Tại thời điểm kiểm tra của chúng tôi, có tới 23.241 người trực tuyến bị dính mã độc này. Con số bị lây nhiễm thực tế có thể cao hơn rất nhiều.

Tại thời điểm kiểm tra của chúng tôi, có đến 23.241 người trực tuyến bị dính mã độc này. Con số bị lây nhiễm thực tế có thể cao hơn tất cả.

Còn nếu bạn là lập trình viên, hãy đọc tiếp những đoạn phân tích dưới đây (chúng tôi đã dòng bỏ cầu nối để tạo ra mã độc này nhằm đảm bảo an toàn cho độc giả).

Vì là bạn trong Friend List nên bạn mới có thể chấp nhận cài 1 extension không rõ xuất phát. đặc trưng chẳng phải có logs trong activity logs.

Bắt tay vào công việc phân tích mã độc: ngoại hình độc này có gần như phiên bản, ngay cả lúc phân tích chúng tôi cũng gặp trên dưới 3 loại. Về cơ bản chúng đều có nguyên lý giống nhau chúng ta cộng tham khảo nhé

Phần 1. Extension chrome

Hãy tìm hiểu từ chính extension mà chúng ta down về

https://chrome.google.com/webstore/detail/buz/cefjoledagalengbpcmgncgfnambhfpi

Tiến hành mổ xẻ mẫu extension, mở file manifest.json chúng ta thấy ngay cái "scripts":["nevyjkcoidzi"]. Mở file nevyjkcoidzi đập vào mắt là một đống mã lệnh được Obfuscated (Làm rối mã). Điều mà tôi lưu ý đó là người viết ra mã độc này tương đối hài hước: ở mỗi kiểu dáng độc khác nhau anh ta đều cho khởi chạy sau 1 thời gian nhất định. Ví dụ ở bề ngoài độc này 1:57:26 sáng ngày 16/11

giả dụ bạn là một lập trình viên tôi dám chắc bạn ko mấy khó khăn để Deobfuscated đoạn mã trên

lúc này trình duyệt Chrome sẽ lắng nghe số đông các hoạt động ở các tabs của bạn. Bất cứ tabs nào được reload hoặc truy cập mới đều được ghi nhận. Extension gửi đi 1 lời yêu cầu để lấy nội ở trang xxx.xyz (chúng tôi đã ẩn để tránh nguy hiểm cho độc giả)... Sau lúc đoạn lấy được nội dung sẽ được thực thi bởi hàm

window.chrome.tabs.executeScript();

Phần 2. Phân tích đoạn mã được lấy về ở trang xxx.xyz

trước tiên Extension sẽ kiểm tra đường dẫn ở Tabs mà quý khách đang truy cập ví như đúng là Facebook thì tiếp tục thực thi.

Trong đoạn mã này nó đã tìm được hàng loạt những giá trị cần phải có của facebook bao gồm như Userid, fb_dtsg, __rev.

ko kể ra nó còn gọi đến hàm blockRemove và hàm start

Hàm blockremove sẽ xóa đoạn mã html để vào trang cài đặt của Facebook.

Hàm Start sẽ khai báo các thiết lập và gọi những hàm bao gồm như arkadas, privacySetting, tokencek

Hàm arkadas lấy danh sách bạn bè của bạn

Hàm arkadas lấy danh sách bạn bè của bạn

Hàm này lấy phần lớn bạn bè của bạn để tạo thành danh sách để "Nhắc đến" ( Mentions )

Hàm privacySetting

Hàm privacySetting

Hàm privacySetting sẽ loại bỏ chế độ hiển thị bài viết ( Công Khai, Bạn bè, Chỉ mình tôi) trên tường của bạn.

Hàm tokencek

Hàm tokencek

Đoạn bôi vàng rất quan trọng, nó sẽ được lưu lại trên máy chủ của người tạo ra mã độc. Một khi Token của bạn bị đánh cắp đồng nghĩ với việc đa dạng nguy cơ tiềm ẩn có thể hoạt động mà bạn không hề biết.

bên cạnh ra còn có hàm quan trọng như hàm Comment, Like và một vài hàm hỗ trợ khác mà chúng tôi chỉ nêu ra.

Hàm comment để nhắc đến ( MenTions )

Hàm comment để "nhắc đến" ( MenTions )

Hàm Like

Hàm Like

Cảnh báo: Virus kém chất lượng mạo thông báo cực nguy hiểm vừa xuất hiện trên Facebook
Tại thời điểm kiểm tra của chúng tôi, có tới 23.241 người trực tuyến bị dính mã độc này. Con số bị lây nhiễm thực tế có thể cao hơn rất nhiều.

Tại thời điểm kiểm tra của chúng tôi, có đến 23.241 người trực tuyến bị dính mã độc này. Con số bị lây nhiễm thực tế có thể cao hơn tất cả.

Tại thời điểm kiểm tra của chúng tôi, có tới 23.241 người trực tuyến bị dính mã độc này. Con số bị lây nhiễm thực tế có thể cao hơn rất nhiều.

Tại thời điểm kiểm tra của chúng tôi, có đến 23.241 người trực tuyến bị dính mã độc này. Con số bị lây nhiễm thực tế có thể cao hơn đầy đủ.

Hàm arkadas lấy danh sách bạn bè của bạn

Hàm arkadas lấy danh sách bạn bè của bạn

Hàm arkadas lấy danh sách bạn bè của bạn

Hàm arkadas lấy danh sách bạn bè của bạn

Hàm privacySetting

Hàm privacySetting

Hàm privacySetting

Hàm privacySetting

Hàm tokencek

Hàm tokencek

Hàm tokencek

Hàm tokencek

Hàm comment để nhắc đến ( MenTions )

Hàm comment để "nhắc đến" ( MenTions )

Hàm comment để nhắc đến ( MenTions )

Hàm comment để "nhắc đến" ( MenTions )

Hàm Like

Hàm Like

Hàm Like

Hàm Like

Cảnh báo: Virus fake mạo thông báo cực nguy hiểm vừa xuất hiện trên Facebook

0 nhận xét:

Đăng nhận xét

Twitter Delicious Facebook Digg Stumbleupon Favorites More