Nhóm giải pháp an toàn mạng đã xác định rằng có một tiện ích mở rộng độc hại của Chrome được họ đặt tên là FacexWorm, sử dụng các kỹ thuật khác nhau để nhắm đến người sử dụng các nền tảng giao dịch tiền ảo để lấy cắp thông tin đăng nhập tài khoản và lây lan thông qua Facebook Messenger. Chỉ một số ít người dùng đã bị ảnh hưởng bởi tiện ích mã độc này, và Chrome đã hoàn toàn gỡ bỏ các tiện ích mở rộng liên quan.

FacexWorm không phải là một phần mềm mã độc mới. Nó đã được phát hiện vào tháng 8 năm 2017, nhưng tại thời điểm đó nó vẫn chưa có mục tiêu rõ ràng. Tuy nhiên gần đây, các báo cáo của nhiều nhà nghiên cứu tại Đức, Tunisia, Nhật Bản, Đài Loan, Hàn Quốc, Tây Ban Nha nhận thấy có sự đột biến trong các hoạt động của nó.

Giống như Digmine, FacexWorm hoạt động bằng cách gửi các liên kết được thiết kế mang tính xã hội qua Facebook Messenger tới bạn bè của tài khoản bị ảnh hưởng để chuyển hướng nạn nhân đến các website giả mạo. Nhưng các nhà nghiên cứu nhận thấy gần đây nó cũng có thể đánh cắp tài khoản và thông tin đăng nhập của các website mà FacexWorm quan tâm đến. Nó chuyển hướng các nạn nhân đến các website lừa đảo tiền ảo, tiêm các mã khai thác độc hại, nhằm chiếm quyền điều khiển các trên nền tảng giao dịch và ví tiền điện tử bằng cách thay thế địa chỉ người nhận bằng địa chỉ của kẻ tấn công.

Tính đến thời điểm này chỉ tìm thấy một phiên giao dịch Bitcoin bị ảnh hưởng bởi FacexWorm khi nhóm nghiên cứu kiểm tra địa chỉ hay ví điện tử của kẻ tấn công, nhưng họ không biết số lượng tiền ảo kẻ tấn công kiếm được từ khai thác web độc hại.

Chuỗi tiến trình lây nhiễm của FacexWorm

Cách thức hoạt động:

Một liên kết độc hại được mở bằng trình duyệt Chrome, FacexWorm sẽ chuyển hướng nạn nhân đến trang Youtube giả, người dùng sẽ được yêu cầu tải xuống tiện ích mở rộng codec để có thể xem video. Sau đó, nó sẽ yêu cầu những đăc quyền truy cập và thay đổi dữ liệu trên website đã mở.

Trang YouTube giả yêu cầu người dùng cài đặt FacexWorm

Sau khi cài đặt và cấp quyền, FacexWorm sẽ tải xuống các mã độc hại bổ sung từ máy chủ C&C của nó và mở website của Facebook. Khi tiện ích mở rộng phát hiện rằng Facebook đang mở, nó sẽ liên lạc với máy chủ C&C của nó lần nữa để kiểm tra xem chức năng truyền đã được bật hay chưa.

Ví dụ về thông điệp được gửi bởi FacexWorm

Nếu đã được kích hoạt, FacexWorm sẽ yêu cầu token truy cập OAuthen cho tài khoản Facebook của nạn nhân. Sau đó nó thực hiện một chuỗi các truy vấn tới Facebook để lấy danh sách bạn bè của tài khoản và gửi lại các liên kết video Youtube giả mạo đến danh sách bạn bè. Khi được truy cập thông qua trình duyệt khác không phải Chrome, liên kết độc hại sẽ chuyển hướng người dùng đến một trang quảng cáo ngẫu nhiên.

Traffic giao tiếp giữa nạn nhân và C & C của FacexWorm

Những gì phần mềm độc hại FacexWorm có thể thực hiện:

FacexWorm là bản sao của một tiện ích mở rộng thông thường của Chrome nhưng được chèn mã ngắn chứa routine chính của nó. FacexWorm tải thêm mã JavaScript từ máy chủ C&C khi trình duyệt được mở. Mỗi khi nạn nhân mở một trang web mới, FacexWorm sẽ truy vấn máy chủ C&C của nó để tìm và lấy một mã JavaScript khác (được lưu trữ trên kho lưu trữ Github) và thực thi hành vi của nó trên trang web đó.

  • Ăn cắp thông tin đăng nhập người dùng: Khi FacexWorm phát hiện trang đăng nhập mà nó đang nhắm tới đang mở, nó sẽ inject một hàm để gửi thông tin đăng nhập mà nó lấy được từ nạn nhân tới máy chủ C&C.
  • Đẩy người dùng đến một trang tiền điện tử giả mạo: Khi FacexWorm phát hiện rằng người dùng đang truy cập vào bất kỳ nền tảng giao dịch tiền điện tử mà nó đang nhắm tới hoặc nếu tìm thấy các từ khóa như “blockchain”, “eth-“, “Ethereum” trong URL, nó sẽ chuyển hướng nạn nhân đến một website giả mạo.
  • Khai thác tiền ảo từ website độc hại: FacexWorm cũng đưa miner khai thác tiền ảo vào các website được mở bởi nạn nhân, sử dụng 20% công suất CPU của hệ thống cho mỗi luồng và mở bốn luồng để khai thác trên các website.
  • Hijack các phiên giao dịch liên quan đến tiền điện tử: FacexWorm thậm chí còn cướp đi các giao dịch liên quan đến tiền ảo của người dùng bằng cách định vị địa chỉ được khóa bởi nạn nhân và thay thế nó bằng địa chỉ do kẻ tấn công cung cấp. FacexWorm thực hiện điều này trên các nền tảng giao dịch Poloniex, HitBTC, Bitfinex, Ethfinex, và Binance, và ví Blockchain.info. Khi kiểm tra các địa chỉ được giao dịch cho kẻ tấn công (tính đến ngày 19 tháng 4), thấy rằng chỉ có một giao dịch Bitcoin (trị giá $ 2,49) đã bị tấn công.

Trang web của lừa đảo tiền điện tử

Script độc hại của Coinhive trong FacexWorm (deobfuscated)

Script độc hại của FacexWorm (deobfuscated) để thay thế địa chỉ Bitcoin

Cơ chế ngăn chặn xóa bỏ FacexWorm:

Nếu FacexWorm phát hiện thấy người dùng đang mở trang quản lý tiện ích của Chrome thông qua “chrome: // extensions /”, nó sẽ ngay lập tức đóng tab đã mở. Hành vi này ngăn chặn người dùng truy cập vào địa chỉ trang quản lý của Chrome.

Script độc hại của FacexWorm (deobfuscated) cho thấy cách nó giao tiếp với máy chủ C & C của nó

và đóng trang quản lý tiện ích mở rộng của Chrome

Giảm thiểu rủi ro:

Mặc dù kẻ tấn công vẫn cố gắng tải FacexWorm mới lên Cửa hàng Chrome, nhưng đội ngũ Chrome đã nhận thấy được điều đó và ngăn chặn kịp thời. Với kỹ thuật lây lan của FacexWorm, thì phía người dùng cũng nên có những thói quen bảo mật tốt như: Chia sẽ những liên kết đáng tin tưởng, thận trọng hơn đối với các thư hay liên kết đáng ngờ, và thiết lập bảo mật chặt chẽ hơn cho các tài khoản để tránh rơi vào các mối đe dọa tương tự.

Bên Trend Micro cũng đã phối hợp với đội ngũ an ninh của Facebook để chủ động bảo vệ người dùng khỏi những liên kết độc hại này. Đội ngũ an ninh Facebook nói: “Chúng tôi duy trì một số hệ thống tự động để giúp ngăn chặn các liên kết và tệp độc hại xuất hiện trên Facebook và trong Messenger. Nếu chúng tôi nghi ngờ máy tính của bạn bị nhiễm phần mềm độc hại, chúng tôi sẽ cung cấp cho bạn dịch vụ quét vi-rút miễn phí từ các đối tác tin cậy của chúng tôi. Chúng tôi chia sẻ các mẹo về cách giữ an toàn và liên kết với các máy quét này trên facebook.com/help”.