Gần đây, các nhà nghiên cứu bảo mật đã phát hiện ra một Cryptojacking Bot (phần mềm độc hại) mới đã nhắm mục tiêu người dùng trên một số quốc gia chỉ để lây nhiễm cho họ nhằm cung cấp một máy khai thác tiền điện tử Monero và một tiện ích mở rộng độc hại của Chrome giúp nó lan truyền đến các nạn nhân mới thông qua FB Messenger.
buổi bieu diễn
Cryptojacking Bot ‘Digimine’ đang lan truyền qua FB Messenger
Mạng xã hội khổng lồ Facebook được mọi người biết đến như một trong những mạng xã hội phổ biến nhất trên thế giới. Đó là lý do tại sao khi có một chiến dịch phần mềm độc hại, nó ảnh hưởng đến nhiều người dùng. Hôm nay chúng ta đang đối mặt với một trong những tin tức này.
Loại mới này được gọi là DigiMine, và là một phần mềm độc hại được phát tán thông qua Facebook Messenger. Như chúng ta đã biết, đây là nền tảng nhắn tin tức thời chính thức của Facebook. Nó có người dùng trên các nền tảng khác nhau cho cả máy tính và thiết bị di động.
DigiMine, chiến dịch phần mềm độc hại mới của Facebook
DigiMine cài đặt công cụ khai thác tiền điện tử Monero trong thiết bị của nạn nhân. Nó cũng giới thiệu một tiện ích mở rộng độc hại của trình duyệt Google Chrome. Điều này giúp nó lây lan sang nhiều nạn nhân hơn.
Như chúng ta đã biết, khai thác tiền điện tử là một trong những loại phần mềm độc hại đang gia tăng mạnh nhất gần đây. Tội phạm mạng sử dụng thiết bị của người dùng để phá hoại các loại tiền kỹ thuật số đang bùng nổ mạnh mẽ này. Điều này ảnh hưởng trực tiếp đến hiệu suất của các thiết bị này, cũng như làm giảm tuổi thọ hữu ích của các thiết bị do quá nhiệt.
Ngoài ra, việc họ tấn công Google Chrome và giới thiệu một tiện ích mở rộng độc hại trong trình duyệt này không phải là ngẫu nhiên. Nó được sử dụng nhiều nhất trong các nền tảng khác nhau. Họ có một số lượng lớn người dùng ở đó để lây nhiễm.
Video sai
Các nạn nhân thường nhận được một tệp có tên video_xxxx.zip (trong đó xxxx là một số có bốn chữ số) cố gắng chuyển mình thành một tệp video. Tệp này ẩn tệp .EXE và người dùng bất cẩn chạy tệp này sẽ bị nhiễm DigiMine.
Một nhà nghiên cứu bảo mật người Hàn Quốc tên là c0nstant và các chuyên gia tại Trend Micro nói rằng máy chủ hiện gửi cho nạn nhân một công cụ khai thác Monero và một tiện ích mở rộng của Chrome. DigiMiner cũng bổ sung cơ chế tự động khởi động dựa trên sổ đăng ký, sau đó cài đặt trình khai thác Monero và tiện ích mở rộng Chrome mà nó vừa nhận được.
Thông thường, các tiện ích mở rộng của Chrome chỉ có thể được tải từ Cửa hàng Chrome trực tuyến, trang web chính thức, nhưng trong trường hợp này, những kẻ tấn công đang cài đặt tiện ích mở rộng độc hại bằng một thủ thuật khéo léo sử dụng các tham số của dòng lệnh của ứng dụng Chrome.
Chức năng của tiện ích mở rộng là truy cập hồ sơ Facebook Messenger của người dùng và gửi tin nhắn riêng tư đến tất cả các địa chỉ liên lạc của nạn nhân. Tin nhắn này chứa một video_xxxx.zip tương tự.
Cơ chế tự lan truyền được sử dụng bởi tiện ích mở rộng Chrome này chỉ hoạt động nếu Chrome tự động bắt đầu phiên người dùng trên tài khoản Facebook của họ. Nếu người dùng không có thông tin đăng nhập Facebook được lưu trong Chrome, tiện ích mở rộng sẽ không hoạt động, vì họ sẽ không thể truy cập giao diện Facebook Messenger để gửi tin nhắn rác.
Các nhà nghiên cứu đã phát hiện ra rằng những kẻ tấn công sử dụng các tệp EXE. Điều này có nghĩa là chỉ người dùng Windows hiện được nhắm mục tiêu chứ không phải người dùng Linux hoặc Mac. Rõ ràng, chiến dịch lần đầu tiên được gửi đến người dùng ở Hàn Quốc nhưng sau đó đã lan rộng sang các quốc gia khác như Việt Nam, Azerbaijan, Ukraine, Philippines, Thái Lan và Venezuela.
Vì vậy, bạn nghĩ gì về phần mềm độc hại mới này? Đơn giản chỉ cần chia sẻ quan điểm và suy nghĩ của bạn trong phần bình luận bên dưới.