Người sử dụng Facebook cần hết sức cảnh giác khi nhận được các đường link lạ xuất hiện trên “Tường” với nội dung như sau: “Look! Hahaha! HOT Girl Show Her Breast on Live TV” “you look so cute”, “Aaaahaha, hey is this your ex?”, “click here to see paRiS Hilton!!”….

Link độc được phát tán qua mạng xã hội Facebook

Khi bấm vào các đường link này, người sử dụng sẽ được dẫn tới website lừa đảo với nội dung khiến họ có thể tin rằng sẽ phải cài Plugin mới có thể xem được clip.

Một khi plugin giả mạo này được cài đặt, lập tức tài khoản Facebook của bạn sẽ trở thành nguồn phát tán link độc hại lên “Tường” của bạn bè. Và thủ phạm, tất nhiên chính là Plugin bạn vừa cài.

Như vậy, mặc dù sử dụng chiêu thức hoàn toàn mới nhưng vẫn dựa trên kịch bản cũ là phát tán link độc qua các mạng xã hội như Facebook. Điều này cho thấy sự theo dõi, bám sát và thay đổi thủ đoạn lừa đảo liên tục của kẻ xấu.

Quay trở lại quá khứ một chút, nếu từng đọc một số bài blog trước đây về chủ đề phát tán mã độc qua Facebook, bạn sẽ dễ dàng nhận thấy quá trình “phát triển” thủ đoạn lừa đảo của hacker. Đầu tiên là đăng ký tên miền gần giống Facebook.com hòng rình rập những trường hợp người dùng gõ nhầm, tiếp đến là dẫn dụ người sử dụng chạy một đoạn javascript trên thanh địa chỉ của trình duyệt.Và gần đây nhất, kẻ xấu lừa người sử dụng cài đặt Youtube Plugin giả mạo cho Firefox hoặc Chrome. Hacker sẽ không ngừng tung ra các chiêu bài mới khi người sử dụng đã biết và cảnh giác hơn với những thủ đoạn cũ. Như vậy, cách tốt nhất để tránh rơi vào bẫy của hacker là nâng cao cảnh giác với những đường link chia sẻ nhận được, đồng thời cài đặt phần mềm diệt virus đủ mạnh để bảo vệ máy tính của bạn toàn diện hơn.

Nguyễn Công Cường – Bkav R&D

• Thứ nhất, nó yêu cầu phải có EAX trỏ đến một giá trị stack (ngăn xếp) hợp lệ trước khi vào chuỗi ROP. Nếu không có được điều này, chuỗi ROP sẽ không sử dụng được. Thực tế, có nhiều trường hợp ta không thể có thanh ghi nào lưu giữ lại giá trị của ESP (chẳng hạn các trường hợp thực hiện “pivot stack” – chỉnh lại stack trước khi vào chuỗi ROP – bằng lệnh MOV ESP,R32 chứ không phải XCHG). Thậm chí ngay cả khi có thanh ghi nào đó khác EAX lưu trữ giá trị hợp lệ của ESP, thì việc chuyển nó về EAX bằng các “ROP gadget” (địa chỉ ROP) không phải lúc nào cũng dễ dàng. Như vậy, để có một chuỗi ROP chung có thể dùng phổ biến cho Windows 8, nhược điểm này cần phải được khắc phục.
• Hạn chế nữa nằm ở độ dài của chuỗi ROP. Trong khi hiện nay, các chuỗi ROP chung phổ biến trên Windows 7 rất ngắn (18 dwords với  chuỗi ROP mới của Corelanc0d3r, và 22 dwords với chuỗi ROP của Sayonara), thì chuỗi ROP này lại chứa khoảng 100 dwords. Anh bạn của tôi hay bất cứ ai theo phương pháp của Dan có thể sẽ làm cho chuỗi ROP ngắn hơn được chút nữa nếu chú ý tối ưu trong việc sử dụng các “ROP gadget”, nhưng nó vẫn sẽ rất dài nếu đem so với những chuỗi ROP trên Windows 7, tôi tin vậy. Vì đôi khi mã khai thác của chúng ta gặp phải điều kiện ngặt nghèo về kích thước, nên độ dài của chuỗi ROP cũng là một vấn đề đáng quan tâm, giống vấn đề độ dài của shellcode vậy. Thêm nữa, tôi vẫn cho rằng một chuỗi ROP ngắn gọn trông sẽ đẹp đẽ và hoàn hảo hơn.

Tập trung nghĩ về cơ chế bảo vệ của Windows 8, tôi đã tạo ra một chuỗi ROP chung mới theo phương pháp của riêng mình. Và quan trọng là nó khắc phục được hai nhược điểm nêu trên.

chuỗi ROP của tôi cũng được xây dựng dựa trên thư viện msvcr71.dll như các chuỗi ROP chung đã nhắc tới, nó gồm 3 bước sau :

Bước 1: Xác định vùng stack hợp lệ

Bước này sẽ làm cho EAX trỏ đến một vùng stack hợp lệ đối với cách kiểm tra hiện tại của Windows 8. Qua đó, giải quyết được vấn đề đầu tiên mà tôi nói ở trên.

Nhắc lại tư tưởng của Dan Rosenberg trong ví dụ của anh ấy. Anh ấy sẽ khôi phục lại stack cũ (vốn đã bị “pivot stack” trước đó) để qua mặt cơ chế kiểm tra. Đây là vùng stack chuẩn được sử dụng trước đó một cách bình thường, nên hiển nhiên là hợp lệ. Vì thế đây là giải pháp tốt nếu chúng ta có thanh ghi nào đó sao lưu stack cũ để sau đó khôi phục lại. Tuy nhiên, ở đây, tôi đang bàn đến trường hợp không có thanh ghi nào thỏa mãn yêu cần của chúng ta.

Giờ hãy nhìn lại cơ chế kiểm tra của Windows: giá trị của ESP sẽ là hợp lệ nếu nằm trong khoảng “stack min” (FS:[8] ) và “stack max” (FS:[4]). Vậy sao ta không lấy luôn “stack min” để sử dụng ? Rõ ràng là nó sẽ vượt qua được cách kiểm tra kia, và nếu có được nó, tôi sẽ có một vùng stack rộng lớn, hợp lệ để sử dụng. Vậy tôi sẽ đi xác định giá trị này.

Việc tìm kiếm trên msvcr71.dll những “ROP gadget” thao tác trực tiếp đến FS:[8] không đem lại kết quả gì. Điều này là dễ hiểu vì các giá trị StackBase và StackTop thường được truy xuất từ cấu trúc TEB. Do đó, tôi đi tìm các gadget tham chiếu đến &(TEB) ( FS:[18] ), và thu được một kết quả duy nhất tại địa chỉ 0×7c34d38f :

Thoạt nhìn, chuỗi lệnh này có vẻ không phù hợp để trở thành một “ROP gadget” vì có quá nhiều lệnh tính toán và lệnh jump trước lệnh RETN. Tuy nhiên đây là kết quả duy nhất tôi tìm được trên msvcr71.dll có tham chiếu đến FS:[18], nên tôi đã phân tích kỹ nó. Dường như đoạn mã này cũng đang kiểm tra EBX có thuộc khoảng giữa StackBase và StackTop không. May mắn thay, tôi nhận ra rằng, nếu sắp xếp các thanh ghi hợp lý, tôi có thể lưu được giá trị của FS:[18] (hoặc chính StackBase) vào nơi tôi muốn ( [EBP+8] hoặc [EBP-4] ), rồi quay trở lại chuỗi ROP một cách tốt đẹp. Và đây là Bước 1 với 13 dwords:

Bước 2 : Sao chép đoạn ROP cho Windows 7 lên vùng stack hợp lệ, so đó trở lại chuỗi ROP

Ở đây, tôi sẽ giải quyết vấn đề độ dài của chuỗi ROP. Sở dĩ có sự chêch lệch đáng kể giữa chuỗi ROP theo phương pháp của Dan so với các chuỗi ROP cho Win7 hiện có là vì nó phải thực hiện nhiều hơn các việc tính toán, di chuyển dữ liệu giữa các thanh ghi, và ghi dữ liệu lên bộ nhớ. Sự hạn chế của các ROP gadget thường làm các công việc trên trở lên phức tạp hơn. Trong khi với các chuỗi ROP cho Win7 việc tính toán đơn giản hơn, lại có thể tận dụng một cách hợp lý PUSHAD để đẩy dữ liệu lên stack, rồi thực hiện lời gọi hàm.

Bởi vì cơ chế kiểm tra stack của Windows 8 chỉ áp dụng cho các hàm có liên quan đến việc cấp quyền cho vùng nhớ (như VirtualProtect), nên ta hoàn toàn có thể sắp xếp và gọi một hàm sao chép dữ liệu (memcpy chẳng hạn) mà chưa cần bận tâm đến tính hợp lệ của ESP.

Vậy bước này, tôi sẽ tận dụng lệnh PUSHAD (như phong cách của các chuỗi ROP chung cho Win7) để có một đoạn ROP ngắn thực hiện sao chép toàn bộ Bước 3 (chính là một chuỗi ROP cho Win7) cùng shellcode lên vùng stack hợp lệ ta đã có (được trỏ bởi EAX), rồi trở về đó.

Bước 2 này gồm 8 dwords :

Bước 3: Một chuỗi ROP bình thường trên Windows 7

Toàn bộ phần này, và shellcode theo sau nó, sẽ được ghi lên vùng stack hợp lệ, nên việc thực thi nó trên Windows 8 lúc này không khác gì trên các phiên bản từ Windows 7 trở về trước.

Vì thế, cái ta cần ở đây chỉ là một chuỗi ROP có thể chạy mượt mà trên Windows 7. Tôi đã tham khảo chuỗi ROP nhỏ nhất của Corelanc0d3r (bao gồm 18 dwords và được cập nhật vào tháng 10/2011) rồi viết một phiên bản khác chỉ với 14 dwords (thật tuyệt, phải không?). Chuỗi ROP “vạn năng” đó đây:

Kết luận

• Kết hợp 3 bước trên, ta sẽ có một chuỗi ROP “vạn năng” chạy ngon lành trên Windows 8, với độ dài 35 dwords (13 + 8 + 14).
• Trong trường hợp đã có EAX trỏ đến một vùng stack hợp lệ, bỏ qua Bước 1, chuỗi ROP của chúng ta chỉ cần 22 dwords (8+14) là hoạt động được trên Windows 8.
• Nếu chỉ dùng cho các phiên bản Windows 7 trở lại, Bước 3 của tôi với 14 dwords sẽ là một chuỗi ROP chung vô cùng ngắn mà hoàn chỉnh.

File đính kèm là demo khai thác lỗi CVE-2011-0065, đã thử nghiệm với Firefox 3.16 trên Windows 7 và Windows 8.

Để các bạn có thể hình dung rõ hơn, tôi sẽ miêu tả thêm một chút về cơ chế chống lại phương thức khai thác ROP của Windows 8. Như chúng ta đã biết, khi viết mã khai thác ROP, ta thường phải sắp xếp một chuỗi lệnh để thực thi các hàm có thao tác với Virtual Memory như VirtualProtect, VirtualAlloc… Chính vì thế, Windows 8 sẽ thực hiện kiểm tra ngăn xếp (stack) trước khi gọi các hàm này bằng cách so sánh thanh ghi ESP. Nếu ESP nằm giữa StackBase (FS:[8]) và StackTop (FS:[4]), khi đó địa chỉ stack là hợp lệ và hàm được thực thi. Ngược lại stack là không hợp lệ và quá trình gọi hàm sẽ không được thực hiện. Tuy nhiên, thực tế là cơ chế này không có tác dụng với những lỗi tràn bộ nhớ đệm trên stack (stack buffer overflow), và cũng không khó để vượt qua đối với nhiều lỗi khác. Giải pháp ở đây là chúng ta lưu lại địa chỉ stack (thanh ghi ESP) và phục hồi lại trước khi gọi hàm.

Tôi đã thực nghiệm phương pháp trên với lỗi CVE-2011-0065 của Firefox. Lỗi này đã có mã khai thác trên Windows 7 , trong đó có sử dụng chuỗi ROP cho Windows 7 của Corelan . Vì Windows 8 được bổ sung thêm cơ chế bảo vệ mới (như đã nêu trên) nên chuỗi ROP này (cũng như các chuỗi ROP khác đã được viết và sử dụng phổ biến trên Windows 7 trước đây) không có tác dụng trên hệ điều hành mới này của Microsoft.

Từ đây, như đã nói từ đầu, tôi đã xây dựng một chuỗi ROP mới có thể vượt qua cơ chế bảo vệ trên Windows 8 và tiện dụng cho những lần khai thác sau này.

Chuỗi ROP được xây dựng dựa trên:

-         Sử dụng module msvcr71.dll – v7.10.3052.4

-         Được gắn với: JRE (Java) 1.6

-         Load với trình duyệt.

-         Làm việc được trên Windows XP/Vista/Win7/Win8/2003/2008.

-         Module không bị ASLR.

-         Sử dụng hàm kernel32.VirtualProtect.

-         Địa chỉ cơ sở: 0×7c340000.

-         Kích thước 0×56000.

Tất nhiên bạn chỉ cần sử dụng chuỗi ROP này thay cho cái cũ, khi mà việc thay đổi địa chỉ stack là bắt buộc cho mã khai thác ROP của bạn. Chuỗi ROP của tôi có thể hoạt động với điều kiện EAX đang trỏ đến một vùng stack hợp lệ nào đó (tức thuộc khoảng giữa FS:[4] và FS:[8]). Vì vậy để sử dụng nó, trước khi vào chuỗi ROP, bạn phải có thanh ghi hoặc vùng nhớ nào đó lưu giữ một địa chỉ stack hợp lệ (thường chính là địa chỉ stack cũ trước khi thay đổi). Sau đó chuyển nó vào EAX và bắt đầu chuỗi ROP.

Chuỗi ROP đã được kiểm thử và chạy ổn định trên Windows 7, Windows 8 và một vài hệ điều hành khác.

Nguyễn Hồng Sơn – Bkav Security

Thực tế này đã buộc kẻ xấu phải tìm ra những phương thức mới để phát tán virus. Một trong số đó là lợi dụng kỹ thuật RLO (Right to Left Override – Đảo ngược Phải sang Trái) trong cách đặt tên file để giấu phần mở rộng của file, khiến người sử dụng nhầm tưởng đó là các file văn bản (.doc, .pdf, …) hay file ảnh (.jpg, .bmp, …).

Vậy bản chất của hiện tượng này là gì? Đối với các ngôn ngữ đọc từ phải sang trái (như tiếng Ả Rập…), Microsoft hỗ trợ việc hiển thị ngược xâu ký tự bằng cách thêm mã unicode U+202E vào trước xâu đó. Ví dụ, sau khi thêm mã U+202E vào trước kí tự “c” của file có tên XXXcod.exe, Windows sẽ hiển thị tên file thành XXXexe.doc. Và nếu kẻ xấu giả mạo cả icon file .doc nữa thì liệu bạn có mảy may nghi ngờ hay lập tức mở file ra xem?

Đây thực chất là 1 file virus

Có thể thấy đây là kỹ thuật khá tinh vi, và nếu không thực sự chú ý thì kể cả các chuyên gia cũng có thể bị lừa bởi những dòng virus này. Để không bị rơi vào bẫy của kẻ xấu, người sử dụng nên kiểm tra thuộc tính của file trước khi quyết định có chạy file hay không. Nếu file có định dạng của file thực thi (.exe, .scr, .pif,…) nhưng lại được hiển thị với phần mở rộng của một dịnh dạng file khác, đó chính là virus.

Đơn giản hơn, bạn có thể chạy các file nhận được trong Sandbox để được an toàn. Tốt hơn hết, bạn nên cài đặt 1 phần mềm diệt virus có bản quyền đủ mạnh để bảo vệ máy tính của bạn một cách toàn diện.

Phạm Tuấn Vũ – Bkav R&D

Khi bấm nút “Browser update”, người sử dụng sẽ được yêu cầu tải về 1 chương trình về để “cập nhật” trình duyệt của mình.

Tuy nhiên, đó thực chất là một loại virus.

Những mạng nội bộ có hiện tượng như trên đều có ít nhất 1 máy tính bị nhiễm virus W32. Gatpaz.Worm có khả năng giả mạo DHCP Server để gửi các gói tin cấu hình đến các máy trạm nhằm thay thế địa chỉ DNS của các máy đó bằng địa chỉ server của hacker. Khi đó, khi người sử dụng truy cập mạng sẽ được chuyển hướng đến 1 website lừa đảo do hacker thiết lập từ trước.

Tình trạng này chỉ xảy đến đối với những mạng doanh nghiệp sử dụng phương pháp cấp phát động IP thông qua DHCP Server.

Trong mô hình này, mỗi mạng sẽ được thiết lập 1 DHCP Server làm nhiệm vụ quản lý và cấp phát IP cho các máy trong mạng đó. Khi máy bất kỳ cần 1 địa chỉ IP để truy cập mạng, nó sẽ gửi đi thông điệp DHCPDISCOVER ra toàn mạng. Sau khi nhận được thông điệp này, DHCP Server sẽ xử lý và gửi trả lại địa chỉ IP và một số thông tin được cấp phát cho máy đó. Quá trình gửi thông điệp chính là “lỗ hổng” trong mô hình này giúp hacker, một khi đã cài được Gatpaz vào 1 máy tính bất kỳ trong mạng, sẽ tạo được 1 DHCP Server giả mạo. Ngoài việc thiết lập địa chỉ IP cho các máy trạm, DHCP Server giả mạo còn thiết lập để địa chỉ DNS Server của máy đó trỏ về DNS Server của hacker, khi đó hacker sẽ toàn quyền kiểm soát hoạt động truy cập các website của người sử dụng.

Để giải quyết triệt để những trường hợp virus phá hoại mạng máy tính của các các doanh nghiệp như trên, Bkav khuyến cáo các công ty, tổ chức nên sử dụng một giải pháp diệt virus tổng thể dành cho doanh nghiệp.

Ngô Anh Huy – Bkav R&D

“Để tự bào chữa, hãy in phiếu phạt được đính kèm và gửi tới tòa án thành phố, Po Box 117, Chatam Hall.”

Người nhận thậm chí có thể đã không có mặt tại New York vào thời điểm được nhắc đến trong email, nhưng vì muốn bào chữa cho mình, hoặc chỉ vì tò mò, họ vẫn mở tệp tin đính kèm này. Khi được giải nén, tệp tin có định dạng của file pdf. Đây thực chất là một trojan. Khi được chạy lên, trojan này sẽ kết nối đến nhiều địa chỉ khác nhau và tải về nhiều phần mềm độc hại, làm giảm mức độ an ninh của hệ thống.

Một trong những phần mềm độc hại này được Bkav nhận diện là W32.FakeHddRepair.Trojan.

Giống như W32.FakeFBIVariantovLT.Trojan, W32.FakeHddRepair.Trojan liên tục hiển thị các thông báo về lỗi ổ cứng:

Chương trình HDD Repair giả mạo được bật lên, tiến hành quét và cảnh báo các lỗi của ổ cứng. Để sửa được các lỗi này, người sử dụng cần phải bỏ ra một khoản tiền để kích hoạt phần mềm.

Kịch bản lừa đảo này đã trở nên tương đối quen thuộc: cảnh báo người dùng về những lỗi nghiêm trọng của hệ thống mà trên thực tế là không có thật, đưa ra một giao diện chương trình sửa các lỗi đó, với điều kiện phải trả tiền mua phần mềm. Tuy nhiên, nếu máy tính có chứa những dữ liệu quan trọng, sẽ không ít người chấp nhận bỏ ra một khoản tiền để “lấy lại” những dữ liệu đó.

Bkav khuyến cáo người sử dụng cần luôn cảnh giác trước các bức thư điện tử có tệp tin đính kèm. Đồng thời, để bảo vệ máy tính hữu hiệu và toàn diện nhất, bạn nên cài đặt một phần mềm diệt virus đủ mạnh, có bản quyền để được cập nhật mẫu nhận diện virus mới thường xuyên.

Nguyễn Hùng Phú – Bkav R&D

Nội dung “thông điệp” của virus

Một khi hệ thống đã bị nhiễm virus này (Bkav nhận diện với tên W32.DownloadWinsLnr.Trojan), thư mục Windows sẽ bị khóa. Khi đó, người dùng sẽ không thể truy cập vào thư mục Windows, thậm chí các chương trình diệt virus cũng không thể quét và phát hiện virus ẩn náu trong đó khi chạy ở mức User mode.

Thật ra, kỹ thuật mà DownloadWinsLnr sử dụng rất đơn giản. Virus chỉ cần phân quyền cho thư mục Windows, cấm tất cả các quyền truy cập đối với thư mục này. Tất nhiên ổ đĩa hệ thống phải có định dạng NTFS.

Tuy nhiên, điều mà tác giả của virus này đã không lường tới là: Kernel mode không bị chi phối bởi hành động phân quyền này, và hầu hết các chương trình diệt virus đều có module hoạt động ở mức Kernel. Do đó, một khi mẫu virus đã được nhận diện, các phần mềm diệt virus sẽ dễ dàng gỡ bỏ nó ra khỏi hệ thống, mặc dù hậu quả để lại là thư mục Windows vẫn không thể truy cập được theo cách thông thường. Nhưng bạn đừng bận tâm, gặp tình huống này, hãy sử dụng công cụ dưới đây để đưa hệ thống về trạng thái trước khi bị nhiễm DownloadWinsLnr.

Download công cụ

Đỗ Khắc Cành – Bkav R&D

Kịch bản diễn ra như sau: người sử dụng gõ nhầm địa chỉ “faceboook.com” và bị trỏ sang một trang web có giao diện mang phong cách facebook. Tại đây, họ sẽ thấy một thông báo: “Chúc mừng ! Bạn được chọn là người chiến thắng của ngày hôm nay ở khu vực Hà Nội (địa danh này thay đổi tùy theo IP của người sử dụng). Hãy chọn một trong các giải thưởng sau để có cơ hội chiến thắng.”  Và giải thưởng được đưa ra là: iPhone 4, Macbook Air hoặc iPad, kèm theo thông tin về số lượng còn lại.

Hình 1 : Trình duyệt chuyển hướng tới một trang khác khi người sử dụng truy cập nhầm vào faceboook.com

Hình 2 : Trình duyệt chuyển hướng tới một trang khác khi người sử dụng truy cập nhầm vào trang gmial.com

Tuy nhiên, để “có thể” nhận được phần quà này, bạn phải trả lời một số câu hỏi sau đó gửi tin nhắn điện thoại về tổng đài do hacker cung cấp. Và dĩ nhiên tin nhắn đó không hề miễn phí, bạn sẽ mất một khoản tiền không nhỏ trong tài khoản.

Hình 3 : Hướng dẫn nhắn tin

Dựa vào IP của người sử dụng, hacker có thể xác định người “gõ nhầm”  ở quốc gia nào, và áp dụng một kịch bản lừa đảo tương ứng, như việc thay đổi địa danh của người “trúng thưởng”. Điều này cho thấy hacker có sự đầu tư không nhỏ vào chiến dịch này và đã gây dựng được mạng lưới lừa đảo ở nhiều nước trên thế giới.

Theo tìm hiểu của tôi, trong chiến dịch này, hacker đã đăng ký giả mạo rất nhiều domain “nổi tiếng”, nhiều người truy như:

Nếu bạn biết thêm domain giả mạo nào mới, hãy thông báo cho chúng tôi.

Với một chiến dịch quy mô rộng như vậy, số lượng người vô tình gõ nhầm domain và bị chuyển hướng sang trang lừa đảo tính cho đến thời điểm hiện tại là khá lớn:

Hình 4 : Chỉ sau hơn 1 tuần đăng ký domain giả, lưu lượng truy cập của các trang lừa đảo đã đạt con số đáng báo động (nguồn Alexa.com)

Để tránh rơi vào bẫy của kẻ xấu, bạn nên kiểm tra lại domain nếu thấy nội dung hiển thị khác so với những lần truy cập trước.

Bkav R&D

Nội dung thông báo spam

Khi người sử dụng bấm vào dòng chữ “Activate Dislike Button”, trình duyệt sẽ bị chuyển hướng đến trang http://lnktrn.ch/dislike chứa yêu cầu giả mạo từ Facebook. Tại đây, người dùng được hướng dẫn sao chép một đoạn mã và thực thi đoạn mã đó trên trình duyệt để kích hoạt nút “Dislike”.

Giả mạo yêu cầu của Facebook

Thực chất, đây là một đoạn mã Javascript được mã hóa. Sau khi phân tích đoạn mã này, chúng tôi phát hiện ra rằng đoạn mã có chức năng gửi tin nhắn spam đến các bạn bè trên Facebook của người sử dụng, với nội dung: “Facebook just <keyword>  dislike button! Click <onword>  ‘Activate Dislike Button’ below to enable it on your <apterm> !”; trong đó <keyword> là một cụm từ ngẫu nhiên trong số: “added the”, “launched”, “released the”, <onword> là một từ ngẫu nhiên trong số: “on”, “On”, và <apterm> là một từ ngẫu nhiên trong số: “profile”, “account”.

Đoạn mã phát tán spam

Sau khi đoạn mã được thực thi, tài khoản Facebook của người dùng sẽ được sử dụng để phát tán các tin nhắn spam tương tự:

Sau đó, người dùng sẽ được yêu cầu xác thực tài khoản, một yêu cầu giả mạo khác, để kích hoạt nút “Dislike”.

Yêu cầu xác thực tài khoản giả mạo

Khi bấm vào nút “Continue”, người sử dụng được chuyển đến trang http://lnktrn.ch/dislike/dislikebutton.php có nội dung như một trang xác thực tài khoản của Facebook. Sau khi phân tích, chúng tôi nhận thấy trang web này thực thi một đoạn mã flash. Tuy nhiên, do có một số lỗi nên đoạn flash này không hiển thị được. Có thể đó là một bảng thông báo để lừa người dùng đăng nhập bằng tài khoản Facebook của mình.

Nội dung trang http://lnktrn.ch/dislike/dislikebutton.php

Mặc dù hiện nay chưa có dấu hiệu về việc phát tán malware qua các tin nhắn spam này, tuy nhiên về lý thuyết các hành vi phát tán malware hoàn toàn có thể thực hiện được với đoạn Javascript đã nêu. Hệ thống HoneyPot của chúng tôi vẫn đang tiếp tục theo dõi và kiểm soát hành vi lừa đảo này.

Để đảm bảo an toàn cho tài khoản của mình, người sử dụng không nên bấm vào các đường link ở các thông báo tương tự, và chỉ nên tin tưởng những thông báo về các tính năng mới  từ website chính thức của Facebook.

Trần Minh Quảng – Bkav R&D

Nội dung email

Khi người sử dụng mở file đính kèm (thực chất là một loại trojan được Bkav nhận diện với tên W32.FakeFBIVariantovLT.Trojan), chương trình sẽ kết nối đến địa chỉ http://vari[removed]tov.com/pusk.exe để download và thực thi một malware khác.

Sau khi lây nhiễm vào hệ thống, malware này sẽ liên tục cho hiện các thông báo lỗi ổ đĩa cứng:

Hàng loạt lỗi về phần cứng được cảnh báo

Theo như những cảnh báo này, có vẻ hệ thống đang ở trong tình trạng rất tồi tệ, nguy cơ mất mát dữ liệu hiển hiện ngay trước mắt. Tuy nhiên, ngay lập tức “người hùng” WindowsRecovery xuất hiện, giúp khắc phục những lỗi về phần cứng đang được cảnh báo và khôi phục những dữ liệu quan trọng.

Giao diện “người hùng” WindowsRecovery

Tuy nhiên, người dùng phải trả một khoản phí để mua bản quyền của phần mềm này.

Truy cập domain giả mạo windows-recovery.com với IE giả mạo

Nếu người sử dụng làm theo những hướng dẫn của chương trình, họ sẽ trở thành nạn nhân của hacker và mất đi một khoản tiền không nhỏ. Kịch bản lừa đảo này rất giống với FakeAV – dòng virus đang hoành hành trong thời gian gần đây, chỉ khác là lần này chúng giả mạo phần mềm khôi phục dữ liệu và đưa ra các cảnh báo lỗi phần cứng chứ không nhẹ nhàng là lỗi phần mềm như trước nữa.

Kẻ xấu phải liên tục thay đổi phương thức, kịch bản lừa đảo như vậy bởi vì ý thức của người sử dụng đã được nâng cao rõ rệt nhờ những cảnh báo kịp thời của các công ty an ninh mạng. Tuy nhiên, để bảo vệ máy tính một cách toàn diện và hiệu quả nhất bạn nên sử dụng một phần mềm diệt virus có bản quyền và được cập nhật thường xuyên.

Nguyễn Văn Long – Bkav R&D