Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Mã độc Nigelthorn lây nhiễm hơn 100.000 hệ thống trên toàn thế giới
Một dòng mã độc mới vừa được phát hiện, có khả năng lấy cắp thông tin đăng nhập, đào tiền ảo, gian lận quảng cáo (click fraud) và thực hiện nhiều hành vi độc hại khác. Được đặt tên là Nigelthorn, mã độc đã lây nhiễm hơn 100.000 máy tính toàn thế giới.
Sở dĩ có tên gọi Nigelthorn là bởi mã độc lạm dụng tiện ích mở rộng (extension) Nigelify của Google Chrome. Nhóm hacker đứng sau mã độc đã hoạt động ít nhất từ tháng 3/2018 và phát tán Nigelthorn tới người dùng tại 100 quốc gia.
Nạn nhân khi click vào đường link chứa mã độc mà hacker phát tán qua Facebook sẽ bị chuyển hướng đến trang YouTube giả mạo, yêu cầu họ cài đặt extension của Chrome để phát video. Một khi người dùng chấp nhận cài đặt, extension độc hại sẽ được thêm vào trình duyệt và biến thiết bị của họ thành một phần của botnet.
Mã độc ảnh hưởng tới người dùng trình duyệt Chrome trên cả Windows và Linux.
Hacker đứng sau Nigelthorn sử dụng dịch vụ rút ngắn URL Bitly để chuyển hướng nạn nhân đến Facebook, lừa người dùng tiết lộ thông tin đăng nhập của họ. Theo số liệu thống kê từ Bitly và kho web Chrome, khoảng 75% các trường hợp lây nhiễm là tại Philippines, Venezuela và Ecuador. 25% còn lại rải rác trên 97 quốc gia khác.
Để qua mặt cơ chế xác thực của Google, tác giả mã độc đã tạo bản sao extension chính thống và chèn thêm một script độc hại.
“Tới giờ, chúng tôi đã phát hiện 7 extension độc hại. 4 trong số này đã được thuật toán an ninh của Google nhận diện và chặn. Tuy nhiên, Nigelify và PwnerLike vẫn đang hoạt động”, chuyên gia Radware cho biết.
Khi extension được cài đặt, một JavaScript độc hại được thực thi để tải về mã độc từ máy chủ C&C.
Nigelthorn tập trung vào việc lấy cắp thông tin đăng nhập Facebook và cookies Instagram. Mã độc cũng chuyển hướng người dùng đến một API Facebook để tạo token truy cập sau đó được gửi đến máy chủ C&C.
Các thông tin bị đánh cắp được sử dụng để tiếp tục phát tán các link độc hại qua tin nhắn Facebook Messenger hoặc qua bài post có tag 50 liên hệ khác. Khi một trong số những liên hệ trong danh sách click vào đường dẫn, quá trình lây nhiễm sẽ tiếp tục lan rộng.
Mã độc cũng tải về thiết bị của nạn nhân công cụ đào tiền ảo. Trong mấy ngày qua, chủ nhân mã độc đã cố gắng đào Monero, Bytecoin và Electroneum.
Các chuyên gia khuyến cáo người dùng cập nhật mật khẩu tài khoản Facebook và chỉ tải xuống các ứng dụng từ các nguồn đáng tin cậy.
Sở dĩ có tên gọi Nigelthorn là bởi mã độc lạm dụng tiện ích mở rộng (extension) Nigelify của Google Chrome. Nhóm hacker đứng sau mã độc đã hoạt động ít nhất từ tháng 3/2018 và phát tán Nigelthorn tới người dùng tại 100 quốc gia.
Nạn nhân khi click vào đường link chứa mã độc mà hacker phát tán qua Facebook sẽ bị chuyển hướng đến trang YouTube giả mạo, yêu cầu họ cài đặt extension của Chrome để phát video. Một khi người dùng chấp nhận cài đặt, extension độc hại sẽ được thêm vào trình duyệt và biến thiết bị của họ thành một phần của botnet.
Mã độc ảnh hưởng tới người dùng trình duyệt Chrome trên cả Windows và Linux.
Hacker đứng sau Nigelthorn sử dụng dịch vụ rút ngắn URL Bitly để chuyển hướng nạn nhân đến Facebook, lừa người dùng tiết lộ thông tin đăng nhập của họ. Theo số liệu thống kê từ Bitly và kho web Chrome, khoảng 75% các trường hợp lây nhiễm là tại Philippines, Venezuela và Ecuador. 25% còn lại rải rác trên 97 quốc gia khác.
Để qua mặt cơ chế xác thực của Google, tác giả mã độc đã tạo bản sao extension chính thống và chèn thêm một script độc hại.
“Tới giờ, chúng tôi đã phát hiện 7 extension độc hại. 4 trong số này đã được thuật toán an ninh của Google nhận diện và chặn. Tuy nhiên, Nigelify và PwnerLike vẫn đang hoạt động”, chuyên gia Radware cho biết.
Khi extension được cài đặt, một JavaScript độc hại được thực thi để tải về mã độc từ máy chủ C&C.
Nigelthorn tập trung vào việc lấy cắp thông tin đăng nhập Facebook và cookies Instagram. Mã độc cũng chuyển hướng người dùng đến một API Facebook để tạo token truy cập sau đó được gửi đến máy chủ C&C.
Các thông tin bị đánh cắp được sử dụng để tiếp tục phát tán các link độc hại qua tin nhắn Facebook Messenger hoặc qua bài post có tag 50 liên hệ khác. Khi một trong số những liên hệ trong danh sách click vào đường dẫn, quá trình lây nhiễm sẽ tiếp tục lan rộng.
Mã độc cũng tải về thiết bị của nạn nhân công cụ đào tiền ảo. Trong mấy ngày qua, chủ nhân mã độc đã cố gắng đào Monero, Bytecoin và Electroneum.
Các chuyên gia khuyến cáo người dùng cập nhật mật khẩu tài khoản Facebook và chỉ tải xuống các ứng dụng từ các nguồn đáng tin cậy.
Theo SecurityWeek