Phân tích mã độc giả dạng thông báo comment FB – Phần 1

Bài viết được trích từ blog của J2Team, đem về reblog lại để sau này có thời gian vọc còn có cái tham khảo. :)

Hack Facebook

Mấy ngày hôm nay đang rộ lên các bài chia sẻ cảnh báo với cộng đồng Facebook (FB) về 1 kiểu hack tài khoản FB có dạng thông báo “Một ai đó đã nhắc đến bạn trong một bình luận”.

Thông báo có bình luận

Để ý link góc dưới của sổ trình duyệt khi bạn đưa chuột qua thông báo. Link dẫn đến 1 trang bên ngoài FB.

Ở đây, bạn sẽ nhận được cảnh báo của FB rằng đường link có thể không đảm bảo, nếu bạn không chắc chắn thì cứ nhấn vào nút Quay lại cho an toàn, tò mò là tốt nhưng đôi khi lớ ngớ mất acc như chơi.

Cảnh báo của FB

Muốn nghiên cứu xem chuyện gì sẽ xảy ra nên tôi cứ nhấn vào nút Truy cập liên kết.

Sau khi nhấn vào thông báo, thay vì chuyển hướng tới bình luận như mọi khi thì người dùng sẽ bị chuyển hướng sang một trang web có giao diện giống hệt Facebook.

Dù đây là tấn công theo phương thức Phishing nhưng không phải kiểu thông thường mà chúng ta thường gặp là nhái trang đăng nhập. Lần này nó sẽ hiển thị một trang xem video như trên Facebook.

Trang web giả mạo FB

Sau khi truy cập khoảng 5 giây sẽ có một thông báo yêu cầu cài đặt Extension vào trình duyệt. Tại sao trang web có thể hiển thị thông báo như khi bạn nhấn nút cài đặt Extension trên Chrome Store? Đó là vì kẻ tấn công đã sử dụng phương thức Cài đặt nội tuyến (Inline Installation).

Tất nhiên là tôi sẽ không cài đặt rồi. Bằng một số thủ thuật tìm thấy trên Google, tôi tải được tập tin CRX (đuôi mở rộng của Extension) về máy.

Phân tích mã độc

CRX thực chất là một định dạng nén đặc biệt của Extension, giống như đuôi JAR của tập tin JAVA. Tức là ta có thể xem nội dung bên trong như một tập tin nén thông thường.

Mở extension tải về coi

Trong phần mở rộng này có một tập tin khá đặc biệt là 639040963078.mp3 (tập tin MP3 rất ít khi được sử dụng trong Extension). Quét thử với Virus Total thì kết quả có vẻ cũng không “nguy hiểm” lắm.

Tiến hành mở tập tin manifest.json ra coi. Đây là tập tin chứa các thông tin cơ bản và quyền hạn của một Extension.

Nội dung file manifest.json

Phần quyền hạn (permission) có vẻ khá nhạy cảm. Nó quản lý các tab và mọi trang web mà bạn truy cập (kể cả trang web đó sử dụng giao thức bảo mật HTTPS).

Nhưng có một điểm thú vị hơn là phần kịch bản chạy nền (background):

Vấn đề ở đây là script chạy lại là 1 file mp3. Vì phần này khai báo HTML hoặc JavaScript nhưng tác giả của Extension lại trỏ vào tập tin *.mp3

Tiến hành đổi đuôi tập tin 639040963078.mp3 thành 639040963078.js và mở lên xem nội dung.

Nội dung file mp3

Đoạn mã đã được làm rối (Obfuscated). Tiến hành giải ngược ra mã ban đầu:

Chú ý: Do đường dẫn trong đoạn mã có chứa mã độc nên đã bị ẩn đi.

Đoạn mã trên sẽ lắng nghe sự kiện mỗi khi người dùng mở tab mới hoặc tab được điều hướng. Khi sự kiện này xảy ra nó sẽ thực thi một đoạn mã độc từ xa. Nội dung mã độc mới được lấy thông qua Ajax.

Qua phần này chúng ta đã hiểu cách thức để mã độc lây nhiễm vào máy của chúng ta.

Chi tiết phần phân tích mã độc sẽ được trình bày trong phần 2 tại đây.

Leave a Reply

1 Comment on "Phân tích mã độc giả dạng thông báo comment FB – Phần 1"

Notify of
avatar
Sort by:   newest | oldest | most voted
trackback

[…] phần 1 chúng ta đã biết mã độc lây lan thông qua việc cài đặt 1 extension trên trình […]

wpDiscuz