Virus phát tán qua Facebook Messenger để đào tiền ảo
Từ chiều 18.12, một loại mã độc được cho là nguy hiểm đã lan truyền trên Facebook Messenger, khiến nhiều người dùng Việt Nam trở thành nạn nhân.
Quá trình lây nhiễm:
Sau khi lây nhiễm vào tài khoản Facebook của người dùng, mã độc sẽ gửi một tập tin video giả thường có dạng 'video_xxxx.mp4.zip' xxxx là 4 số ngẫu nhiên thông qua tin nhắn Messenger đến toàn bộ bạn bè trong danh sách bạn bè của người đó.
Malware mang tên Digmine với mục đích lén lút cài đặt vào máy tính của người dùng một chương trình đào tiền điện tử.
Công ty an ninh mạng Trend Micro đã phát hiện ra mã độc có tên Digmine lần đầu tiên ở Hàn Quốc. Hiện tại mã độc này được tìm thấy ở nhiều quốc gia trong đó có Việt Nam, Azerbaijan, Ukraina, Philippines, Thái Lan, và Venezuela. Với tốc độ lây nhiễm chóng mặt, Digmine có thể sẽ nhanh chóng xuất hiện trên toàn thế giới.
Tính tới ngày 21/12 đã có khoảng hơn 500 biến thể của mã độc đào tiền ảo được tung lên mạng và chưa có dấu hiệu dừng lại, cứ 10 phút một biến thể mới xuất hiện. Hacker đã thêm vào biến thể mới nhất của mã độc khả năng đăng bài lên các Nhóm (Group), thay vì chỉ qua Facebook Messenger như ở phiên bản đầu tiên. Virus sử dụng tài khoản của nạn nhân để đăng video giả mạo chứa mã độc kèm theo nội dung mời gọi như "woow hot video". Tập tin kèm theo có định dạng tiêu đề sex_video_xxxx.zip, với xxxx là 4 số ngẫu nhiên. Điều này khiến số lượng nạn nhân tăng lên nhanh chóng theo cấp số nhân với hơn 12.600 máy tính tại Việt Nam nhiễm mã độc nầy.
Tính tới ngày 21/12 đã có khoảng hơn 500 biến thể của mã độc đào tiền ảo được tung lên mạng và chưa có dấu hiệu dừng lại, cứ 10 phút một biến thể mới xuất hiện. Hacker đã thêm vào biến thể mới nhất của mã độc khả năng đăng bài lên các Nhóm (Group), thay vì chỉ qua Facebook Messenger như ở phiên bản đầu tiên. Virus sử dụng tài khoản của nạn nhân để đăng video giả mạo chứa mã độc kèm theo nội dung mời gọi như "woow hot video". Tập tin kèm theo có định dạng tiêu đề sex_video_xxxx.zip, với xxxx là 4 số ngẫu nhiên. Điều này khiến số lượng nạn nhân tăng lên nhanh chóng theo cấp số nhân với hơn 12.600 máy tính tại Việt Nam nhiễm mã độc nầy.
Virus phát tán qua Facebook Messenger là nhằm mục đích lợi dụng máy tính người dùng để đào tiền ảo |
Các chuyên gia bảo mật phát hiện mã độc sẽ gửi thông tin về máy bị lây nhiễm đến địa chỉ hxxp://ojoku.bigih.bid/api/cherry/login.php, sau đó thực hiện tải và cài đặt một extension độc hại vào trình duyệt của người dùng nhằm phát tán tiếp các tập tin mã độc giả dạng video đến bạn bè của người bị lây nhiễm.
Tiếp theo, mã độc ghi file shortcut Chrome để load extension vào các thư mục như desktop, taskbar, program… Cuối cùng nó khởi động lại Chrome để extension thực thi và cài một mã độc khác là “coin minner” để đào tiền ảo bằng cách khai thác nguồn tài nguyên hệ thống trên máy của bạn.
|
Hơn 12 nghìn máy tính tại Việt Nam nhiễm mã độc Facebook đào tiền ảo. Ảnh minh họa |
Cách phòng tránh:
- Nếu hệ thống chưa bị tấn công, bạn nên chủ động phòng tránh ngay từ đầu, tuyệt đối không tải về và mở những tập tin lạ được gửi đến thông qua Facebook Messenger có dạng “video_” cùng 4 số ngẫu nhiên
- Nếu đã tải về tập tin chứa mã độc thì bạn xóa nó đi trong thư mục tải về, thường là Downloads của thư mục tài khoản trên Windows hoặc có thể kiểm tra lại trạng thái bị nhiễm bằng cách mở Chrome, nhập vào thanh địa chỉ :
- Nếu đã tải về tập tin chứa mã độc thì bạn xóa nó đi trong thư mục tải về, thường là Downloads của thư mục tài khoản trên Windows hoặc có thể kiểm tra lại trạng thái bị nhiễm bằng cách mở Chrome, nhập vào thanh địa chỉ :
chrome://extensions/
và enter để load thử, nếu tab này tự động bị đóng thì nghĩa là máy đã bị nhiễm.
Tắt hoàn toàn trình duyệt Chrome sau đó vào “Start Menu” -> gõ “run” -> nhập %APPDATA%
Tìm thư mục có tên trùng với tên user trên máy -> Xóa toàn bộ thư mục này -> Khởi động lại máy.
Việc xóa thư mục trên sẽ xóa các file độc hại ở cuộc tấn công này, bao gồm cả file extension, dẫn đến Chrome sẽ báo lỗi nếu mở từ Shortcut, người dùng có thể khắc phục thông báo lỗi này bằng cách: Bấm chuột phải vào Shortcut vẫn dùng để mở Chrome -> Properties -> xóa đoạn “--enable-automation --disable-infobars --load-extension=” trong ô Target -> Ok.
Còn nếu đã khởi chạy nó, hãy tắt kết nối internet, cập nhật phần mềm chống virus và tiến hành quét toàn bộ hệ thống.
May mắn là Digimine chỉ hoạt động trên trình duyệt Chrome dành cho PC. Sau khi Trend Micro tiết lộ các phát hiện của họ, Facebook đã có phản hồi. Mạng xã hội tuyên bố đã xóa tất cả những nội dung, liên kết có liên quan tới Digmine.
May mắn là Digimine chỉ hoạt động trên trình duyệt Chrome dành cho PC. Sau khi Trend Micro tiết lộ các phát hiện của họ, Facebook đã có phản hồi. Mạng xã hội tuyên bố đã xóa tất cả những nội dung, liên kết có liên quan tới Digmine.
Tuy nhiên, biện pháp tốt nhất vẫn là không mở các liên kết đáng ngờ, ngay cả khi chúng đến từ bạn bè của bạn.
Người tổng hợp: Nguyễn Đạt Khánh.
Các bạn có thể tham khảo thêm nhiều kiến thức từ các bài viết mà mình đã SEO bằng các Từ khóa bên dưới bài đăng nầy để tìm hiểu thêm về các khái niệm và ứng dụng có liên quan nhé..
0 Comments:
Đăng nhận xét