Buzz
Tiếp tục từ phần trước, chúng tôi sẽ cùng các bạn tìm hiểu về hoạt động của mã độc mới đang lan truyền trên Facebook. Tại thời điểm kiểm tra, có đến 23.241 người đang trực tuyến bị nhiễm mã độc này.
Nguyên nhân chính khiến các bạn bị lây nhiễm mã độc một cách hàng loạt là do tính khôn ngoan của mã độc này. Nó thường chỉ lấy các bạn bè có trong danh sách của bạn mà không phải là người ngoài, làm giảm mức độ cảnh giác khi bạn click vào thông báo.
Chúng tôi sẽ trình bày chi tiết các bước phân tích mã độc này dưới góc độ của một lập trình viên.Người không phải là lập trình viên có thể tổng kết bài viết thành 3 điểm sau:
- Mã độc này có khả năng đánh cắp quyền tài khoản của bạn (thông qua token của người dùng).
- Mã độc này lây lan qua tính năng 'nhắc đến' (mention) trên Facebook.
- Dự kiến số người dùng bị ảnh hưởng bởi mã độc này không thể đếm được. Chỉ trong thời gian chúng tôi kiểm tra, đã có hơn 23 nghìn người bị ảnh hưởng.
- Hoạt động nhắc đến không được ghi lại trong Logs hoạt động, do đó bạn không thể biết liệu bạn có bị nhiễm mã độc hay không.
Cách loại bỏ rất đơn giản: Bạn chỉ cần vào Chrome và:
Xóa/remove Extension mà bạn vừa cài
Vào Cài đặt (Setting) để khôi phục cài đặt ban đầu (default)
Tại thời điểm kiểm tra của chúng tôi, có đến 23.241 người đang trực tuyến bị nhiễm mã độc này. Số lượng bị ảnh hưởng thực tế có thể cao hơn nhiều.
Nếu bạn là một lập trình viên, hãy tiếp tục đọc các phân tích dưới đây (chúng tôi đã loại bỏ các đoạn mã độc để đảm bảo an toàn cho độc giả).
Vì là một trong số bạn trong Danh sách Bạn bè, bạn mới có thể chấp nhận cài đặt một Extension không rõ nguồn gốc. Đặc biệt, không có logs về hoạt động này trong Logs hoạt động.
Bắt đầu phân tích mã độc: Mẫu mã độc này có nhiều phiên bản, chúng tôi đã gặp trên dưới 3 loại ngay khi phân tích. Tuy nhiên, chúng đều hoạt động theo nguyên tắc tương tự nhau, hãy cùng tham khảo nhé.
Bước 1. Extension trên Chrome
Hãy khám phá từ extension mà chúng ta đã tải về
https://chrome.google.com/webstore/detail/buz/cefjoledagalengbpcmgncgfnambhfpi
Tiến hành phân tích mẫu extension, mở file manifest.json chúng ta sẽ thấy dòng 'scripts':['nevyjkcoidzi']. Mở file nevyjkcoidzi làm thấy rõ ràng một đống mã lệnh được Obfuscated (làm rối mã). Điều đáng chú ý là người tạo ra mã độc này khá hài hước: ở mỗi mẫu mã độc khác nhau, anh ta đều cài đặt khởi chạy sau một thời gian cố định. Ví dụ, ở mẫu mã độc này, là 1:57:26 sáng ngày 16/11.
Nếu bạn là một lập trình viên, bạn sẽ dễ dàng Deobfuscated đoạn mã trên
Lúc này trình duyệt Chrome sẽ theo dõi toàn bộ các hoạt động trên các tab của bạn. Mọi tab được tải lại hoặc truy cập mới sẽ được ghi nhận. Extension gửi yêu cầu để lấy nội dung trang xxx.xyz (chúng tôi đã ẩn để đảm bảo an toàn cho người đọc)... Sau khi nhận được nội dung, đoạn mã sẽ được thực thi bởi hàm
window.chrome.tabs.executeScript();
Bước 2. Phân tích đoạn mã thu thập từ trang xxx.xyz
Đầu tiên, Extension sẽ kiểm tra địa chỉ của tab mà bạn đang truy cập. Nếu đúng là Facebook, nó sẽ tiếp tục thực thi.
Trong đoạn mã này, nó đã tìm ra nhiều giá trị quan trọng của Facebook như Userid, fb_dtsg, __rev.
Ngoài ra, nó còn gọi tới hai hàm blockRemove và start.
Hàm blockremove sẽ xóa phần mã HTML để truy cập vào trang cài đặt của Facebook.
Hàm Start sẽ thiết lập và gọi các hàm như arkadas, privacySetting, tokencek.
Hàm arkadas sẽ lấy danh sách bạn bè của bạn
Hàm này thu thập toàn bộ danh sách bạn bè của bạn để sử dụng cho việc 'Nhắc đến' (Mentions)
Hàm privacySetting
Hàm privacySetting sẽ loại bỏ chế độ hiển thị bài viết (Công Khai, Bạn bè, Chỉ mình tôi) trên tường của bạn.
Hàm tokencek
Đoạn được đánh dấu màu vàng rất quan trọng, nó sẽ được lưu lại trên máy chủ của người tạo mã độc. Khi Token của bạn bị đánh cắp, đây đồng nghĩa với việc có nhiều rủi ro tiềm ẩn mà bạn có thể không nhận biết.
Bên cạnh đó còn có hàm Comment, Like và một số hàm hỗ trợ khác mà chúng tôi sẽ đề cập.
Hàm comment để 'Nhắc đến' (Mentions)
Hàm Thích
