Gần đây, xuất hiện rất nhiều các thông báo spam có nội dung liên quan đến việc kích hoạt nút Dislike của Facebook, mạng xã hội lớn nhất hiện nay. “Facebook vừa có thêm nút Dislike! Bấm vào dòng chữ “Activate Dislike Button” bên dưới để kích hoạt trên tường của bạn”! Với những tin nhắn lừa đảo này, lợi dụng mong muốn của người sử dụng về nút Dislike trên Facebook, hacker có thể chiếm quyền điều khiển tài khoản để tiếp tục phát tán các tin nhắn spam đến Facebook bạn bè của nạn nhân.

Nội dung thông báo spam

Khi người sử dụng bấm vào dòng chữ “Activate Dislike Button”, trình duyệt sẽ bị chuyển hướng đến trang http://lnktrn.ch/dislike chứa yêu cầu giả mạo từ Facebook. Tại đây, người dùng được hướng dẫn sao chép một đoạn mã và thực thi đoạn mã đó trên trình duyệt để kích hoạt nút “Dislike”.

Giả mạo yêu cầu của Facebook

Thực chất, đây là một đoạn mã Javascript được mã hóa. Sau khi phân tích đoạn mã này, chúng tôi phát hiện ra rằng đoạn mã có chức năng gửi tin nhắn spam đến các bạn bè trên Facebook của người sử dụng, với nội dung: “Facebook just <keyword>  dislike button! Click <onword>  ‘Activate Dislike Button’ below to enable it on your <apterm> !”; trong đó <keyword> là một cụm từ ngẫu nhiên trong số: “added the”, “launched”, “released the”, <onword> là một từ ngẫu nhiên trong số: “on”, “On”, và <apterm> là một từ ngẫu nhiên trong số: “profile”, “account”.

Đoạn mã phát tán spam

Sau khi đoạn mã được thực thi, tài khoản Facebook của người dùng sẽ được sử dụng để phát tán các tin nhắn spam tương tự:

Sau đó, người dùng sẽ được yêu cầu xác thực tài khoản, một yêu cầu giả mạo khác, để kích hoạt nút “Dislike”.

Yêu cầu xác thực tài khoản giả mạo

Khi bấm vào nút “Continue”, người sử dụng được chuyển đến trang http://lnktrn.ch/dislike/dislikebutton.php có nội dung như một trang xác thực tài khoản của Facebook. Sau khi phân tích, chúng tôi nhận thấy trang web này thực thi một đoạn mã flash. Tuy nhiên, do có một số lỗi nên đoạn flash này không hiển thị được. Có thể đó là một bảng thông báo để lừa người dùng đăng nhập bằng tài khoản Facebook của mình.

Nội dung trang http://lnktrn.ch/dislike/dislikebutton.php

Mặc dù hiện nay chưa có dấu hiệu về việc phát tán malware qua các tin nhắn spam này, tuy nhiên về lý thuyết các hành vi phát tán malware hoàn toàn có thể thực hiện được với đoạn Javascript đã nêu. Hệ thống HoneyPot của chúng tôi vẫn đang tiếp tục theo dõi và kiểm soát hành vi lừa đảo này.

Để đảm bảo an toàn cho tài khoản của mình, người sử dụng không nên bấm vào các đường link ở các thông báo tương tự, và chỉ nên tin tưởng những thông báo về các tính năng mới  từ website chính thức của Facebook.

Trần Minh Quảng – Bkav R&D

Gần đây, hệ thống HoneyPot của chúng tôi thu thập được một loạt email giả mạo FBI (được gửi từ địa chỉ info40121@fbi.gov) với nội dung đe dọa, yêu cầu người nhận mở file đính kèm để trả lời một số câu hỏi.

Nội dung email

Khi người sử dụng mở file đính kèm (thực chất là một loại trojan được Bkav nhận diện với tên W32.FakeFBIVariantovLT.Trojan), chương trình sẽ kết nối đến địa chỉ http://vari[removed]tov.com/pusk.exe để download và thực thi một malware khác.

Sau khi lây nhiễm vào hệ thống, malware này sẽ liên tục cho hiện các thông báo lỗi ổ đĩa cứng:

Hàng loạt lỗi về phần cứng được cảnh báo

Theo như những cảnh báo này, có vẻ hệ thống đang ở trong tình trạng rất tồi tệ, nguy cơ mất mát dữ liệu hiển hiện ngay trước mắt. Tuy nhiên, ngay lập tức “người hùng” WindowsRecovery xuất hiện, giúp khắc phục những lỗi về phần cứng đang được cảnh báo và khôi phục những dữ liệu quan trọng.

Giao diện “người hùng” WindowsRecovery

Tuy nhiên, người dùng phải trả một khoản phí để mua bản quyền của phần mềm này.

Truy cập domain giả mạo windows-recovery.com với IE giả mạo

Nếu người sử dụng làm theo những hướng dẫn của chương trình, họ sẽ trở thành nạn nhân của hacker và mất đi một khoản tiền không nhỏ. Kịch bản lừa đảo này rất giống với FakeAV – dòng virus đang hoành hành trong thời gian gần đây, chỉ khác là lần này chúng giả mạo phần mềm khôi phục dữ liệu và đưa ra các cảnh báo lỗi phần cứng chứ không nhẹ nhàng là lỗi phần mềm như trước nữa.

Kẻ xấu phải liên tục thay đổi phương thức, kịch bản lừa đảo như vậy bởi vì ý thức của người sử dụng đã được nâng cao rõ rệt nhờ những cảnh báo kịp thời của các công ty an ninh mạng. Tuy nhiên, để bảo vệ máy tính một cách toàn diện và hiệu quả nhất bạn nên sử dụng một phần mềm diệt virus có bản quyền và được cập nhật thường xuyên.

Nguyễn Văn Long – Bkav R&D

Gần đây, hệ thống giám sát virus honeypot của chúng tôi thu thập được một số biến thể mới của dòng malware chuyên giả mạo các chương trình diệt virus (FakeAV). Tiến hành theo dõi và phân tích những biến thể mới đó, chúng tôi phát hiện một kịch bản mới được các hacker sử dụng để phát tán dòng malware này.

Hacker lợi dụng các diễn đàn, hệ thống hỗ trợ giải đáp thắc mắc trực tuyến trong đó phần lớn là các site của Yahoo! Answers (answers.yahoo.com) để thực hiện phát tán mã độc.

Hình 1: Một câu trả lời lừa đảo trên Yahoo! Answers

Các câu trả lời lừa đảo thường có dạng:

“Anyway, I think this will help you http://answers-yahoo-z.tk” (Dù sao thì tôi cũng nghĩ rằng, trang này sẽ giúp bạn: http://answers-yahoo-z.tk)

“You might find the answer here http://answers-yahoo-z.tk” (Bạn có thể tìm thấy câu trả lời ở đây: http://answers-yahoo-z.tk y)

hay

“Try this http://answers-yahoo-z.tk” (Thử cái này xem: http://answers-yahoo-z.tk

…

Các câu trả lời này dụ người đọc truy cập vào các website lừa đảo, giả mạo hệ thống Yahoo! Answers.

Hình 2:  Giao diện trang web giả mạo (trên) và trang Yahoo! Answers thật (dưới)

Để biết được câu trả lời, bạn phải download một file (thực chất là FakeAV) về máy tính:

Hình 3:  Security Shield (FakeAV)

Ngoài hệ thống giải đáp thắc mắc trực tuyến Yahoo! Answers, kẻ xấu còn lợi dụng nhiều website hỗ trợ giải đáp thắc mắc khác để phục vụ cho chiến dịch  phát tán mã độc này:

Hình 4 : Rất nhiều thắc mắc bị lợi dụng để phát tán mã độc

Bởi vậy, bạn cần thận trọng với các câu trả lời chứa đường link dẫn sang một trang khác.

Triệu Minh Tuân – Bkav R&D

Thời gian gần đây, kết quả các khảo sát của chúng tôi cho thấy người sử dụng đã thận trọng hơn với việc mở file đính kèm. Bởi vậy, kẻ xấu đã sử dụng những phương thức lừa đảo mới nhằm tăng khả năng mở file đính kèm của người nhận.

Dưới đây là ảnh chụp màn hình của một cặp spam email trong số rất nhiều email mà hệ thống Honeypot của chúng tôi thu thập được thời gian qua:

Hình 1: Email đầu tiên được gửi đến

Hình 2: Email thứ 2 nhận được sau đó một thời gian

Bạn có nhận ra mối liên hệ giữa 2 email này không? Thực chất, chúng là cặp email trong cùng một kịch bản của hacker. Kịch bản tương tác diễn ra như sau: Email đầu tiên không đính kèm file và chỉ có một nhiệm vụ duy nhất là khiến người nhận tin vào một câu chuyện thú vị: có người biết bạn qua Internet, muốn làm quen và sẽ gửi cho bạn vài bức ảnh. Đối với người sử dụng, email này có vẻ như vô hại và chắc chắn không ít người trả lời email kết bạn này. Không lâu sau đó, người sử dụng sẽ nhận được một email khác, lần này có đính kèm “file ảnh” như đã đề cập trong email trước. Nhiều người sử dụng bị thuyết phục bởi kịch bản khá logic và tương tác này đã mở file đính kèm, và vậy là máy tính của họ bị nhiễm virus.

Virus này (Bkav nhận diện với tên W32.FakeHotpics.Worm) khi được thực thi sẽ download FakeAV từ địa chỉ : http://webcontrol-panel.us/l[removed]atch/softpatch.php?afid=154

Hình 3: FakeAV do virus download

Theo nhận định của chúng tôi, kịch bản mới đã giúp kẻ xấu đạt được mục đích tăng khả năng mở file đính kèm của người nhận.

P/S : Việc phân tích virus được thực hiện bởi một đồng nghiệp của tôi, anh Nguyễn Quốc Minh.

Nguyễn Công Cường, senior malware researcher