Một tiện ích mở rộng của Chrome được phát hiện vào tháng 8 năm 2017 đang hoạt động trở lại. Được đặt tên là FacexWorm, nó là một loại sâu cũ có những mánh khóe mới. Nạn nhân của phần mềm độc hại này, thực hiện một sai lầm nghiêm trọng. Họ thừa nhận và mở một tệp độc hại trắng trợn!
Nó xâm nhập vào hệ thống của bạn như thế nào?
Khi người dùng mở một tin nhắn rác ngẫu nhiên từ một người bạn chung qua Facebook Messenger, họ sẽ nhận được một liên kết video trong tin nhắn. Liên kết này đưa họ đến một trang YouTube proxy. Trang này sẽ gửi một thông báo bật lên để tải phần mở rộng codec để chạy video. Sau đó, nó yêu cầu quyền truy cập để thay đổi dữ liệu trên trang web đã mở để truyền phát video nhanh hơn.
Sau khi tập lệnh được tải vào PC, FacexWorm lặng lẽ bắt đầu tải xuống các mã độc bổ sung trên máy chủ chỉ huy và kiểm soát (C&C) của nó. Sau đó, nó sẽ mở trang web của Facebook và tiếp tục gửi tin nhắn tới tất cả bạn bè và người theo dõi khác trong danh sách của bạn. Đó là cách nó lan truyền vào hệ thống của bạn và sử dụng nó để lan rộng hơn nữa vào mạng.
Nó ảnh hưởng đến hệ thống của bạn như thế nào?
Khi được truy cập thông qua các trình duyệt khác với phiên bản Google Chrome dành cho máy tính để bàn, liên kết độc hại sẽ chuyển hướng đến một quảng cáo ngẫu nhiên. Bằng cách này, nó tránh bị phát hiện và mỗi khi mở một trang web mới, nó sẽ tìm kiếm truy vấn của máy chủ C&C để tìm và truy xuất một mã JavaScript khác. Các mã này được lưu trữ trên kho lưu trữ Github và sau đó lặp lại quy trình tương tự trên trang web đó.
Nếu trong trường hợp một người có ví tiền điện tử được lưu trên PC của họ hoặc truy cập trang giao dịch tiền điện tử trực tuyến, FaceXWorm sẽ định vị địa chỉ đã được nhập và thay thế địa chỉ đó bằng một địa chỉ khác đã được chỉ định bởi tin tặc đằng sau sâu.
FacexWorm có khả năng thực hiện chuyển đổi này trên một số nền tảng giao dịch như Binance, Poloniex, Bitfinex và HitBTC cùng với các nền tảng khác.
Loại tiền điện tử mà nó đã nhắm mục tiêu tương tự là Bitcoin (BTC) Dash (DASH), Ethereum Classic (ETC), Monero (XMR) và nhiều loại khác.
Những thiệt hại tiềm tàng mà nó có thể gánh chịu là gì?
Phần mềm độc hại FacexWorm, tải vào hệ thống của bạn thông qua cổng truyền thông xã hội. Chính vì vậy, nó có nhiều cách ảnh hưởng đến nạn nhân và Danh tính kỹ thuật số của họ.
1) Nó có thể xâm phạm thông tin đăng nhập tài khoản của nạn nhân trên nhiều nền tảng khác nhau như Google, Coinhive và các trang truyền thông xã hội khác. Sau khi giành được quyền truy cập thông tin đăng nhập của nạn nhân, nó sẽ gửi tất cả dữ liệu này trở lại máy chủ chính của nó và tiếp tục theo dõi dữ liệu đó.
2) Nó thậm chí còn có khả năng khai thác tiền điện tử từ PC của nạn nhân. Một tập lệnh Coinhive quá phức tạp chạy mà không bị phát hiện trên PC của nạn nhân. Tập lệnh này được kết nối với nhóm CoinHive, nơi sử dụng sức mạnh của PC nạn nhân để khai thác tiền điện tử cho ví của hacker. Lượng sử dụng PC bị hạn chế ở mức 20%, nhưng bản thân nó đã cộng thêm 20% hóa đơn tiền điện mà nạn nhân phải trả.
3) FacexWorm có khả năng lôi kéo nạn nhân vào một vụ lừa đảo tiền điện tử một cách miễn cưỡng. Với sự trợ giúp của các chi tiết tài khoản mà phần mềm độc hại có thể sử dụng, nó sử dụng các từ khóa như Blockchain, Bitcoin, Ethereum, Ripple, v.v. và hướng nó đến một trang lừa đảo được chuẩn bị trước khác. Trang lừa đảo có các tuyên bố giả mạo về những người được cho là người chiến thắng đã gửi 0,5 đến 10 ether (ETH) đến địa chỉ ví của kẻ tấn công và nhận lại số tiền lên tới 5 đến 100 ETH. Lưu ý:Đây là một trong những hình thức lừa đảo tiền điện tử phổ biến nhất trên thị trường. 4) Khi nạn nhân truy cập một trang web, rất có thể Facexworm sẽ hiển thị một trang web proxy cùng tên. Các trang web proxy này được kẻ tấn công chỉ định làm liên kết giới thiệu của trang web gốc. Bằng cách này, kẻ tấn công nhận được ưu đãi giới thiệu. Một số trang web đã được nhắm mục tiêu theo cách tương tự là DigitalOcean, Binance, HashFlare và FreeBitco.in, v.v.
Tóm lại:Hãy coi chừng!
Mặc dù chưa có nhiều báo cáo về các nạn nhân hiện tại của nó, nhưng FacexWorm có khả năng trở thành một trong những phần mềm độc hại nguy hiểm nhất. Nó có khả năng làm tổn hại đến một danh tính kỹ thuật số và thậm chí có thể phá hỏng ví tiền điện tử của một người trong thời gian dài. Chúng tôi khuyên độc giả nên cẩn thận trước khi nhấp vào bất kỳ tin nhắn nào như vậy mà họ có thể nhận được trên Facebook Messenger bất kể tên người gửi.