Các nhà nghiên cứu bảo mật tại Kaspersky Lab đã phát hiện ra chiến dịch đa nền tảng đang diễn ra trên Facebook Messenger, Khi sử dụng Facebook Messenger, người dùng nhận được một link videochuyển hướng họ đến các trang web giả mạo, đánh lừa để họ cài đặt các phần mềm độc hại.
Mặc dù chưa biết chính xác cách thức phát tán phần mềm độc hại, các nhà nghiên cứu cho rằng những kẻ gửi thư spam xâm nhập và sử dụng trái phép các tài khoản người dùng, tấn công trình duyệt hoặc sử dụng kỹ thuật clickjacking để phát tán các link độc hại.
Kẻ tấn công sử dụng các mạng xã hội để đánh lừa người dùng click vào link video được gửi từ một trong số các bạn bè của họ trên Facebook, kèm theo thông báo "< tên="" bạn="" bè="" của="" bạn=""> Video" kèm theo link bit.ly. Vì vậy, người dùng cần cẩn thận với những link video trên Facebook Messenger để tránh lấy nhiễm những mà độc lên máy tính của mình.
Cách thức hoạt động của nền tảng phần mềm độc hại này
URL chuyển hướng nạn nhân sang Google Doc hiển thị ảnh thu nhỏ của video được tạo tự động, chẳng hạn như video một bộ phim, dựa trên ảnh của người dùng để gửi. Nếu người dùng click vào video đó sẽ được chuyển hướng đến trang mục tiêu tùy chỉnh khác, phụ thuộc vào trình duyệt và hệ điều hành mà họ sử dụng.
Cho ví dụ, người dùng Firefox trên Windows được chuyển hướng đến trang web hiển thị thông báo cập nhật Flash Player giả mạo, sau đó được cung cấp các file thực thi .exe Windows, các file này chính là phần mềm quảng cáo.
Người dùng Chrome được chuyển hướng đến trang YouTube giả mạo, có logo tương tự như logo YouTube, tại đây hiển thị các cửa sổ thông báo lỗi giả mạo, đánh lừa người dùng tải xuống tiện ích mở rộng Chrome độc hại từ cửa hàng Google Web Store.
Bản chất tiện ích mở rộng mà người dùng tải xuống có chứa các tùy chọn mà kẻ tấn công muốn sử dụng để tấn công máy tính nạn nhân:
Trong một blog của David Jacoby, chuyên gia nghiên cứu bảo mật của Kaspersky Lab cho biết: “Tại thời điểm này, file độc hại mà người dùng tải xuống không có sẵn”.
“Điểm thú vị là tiện ích mở rộng Chrome có chứa các file log từ các nhà phát triển hiển thị tên người dùng. Mặc dù chưa biết chính xác liệu nó có liên quan đến chiến dịch này hay không, nhưng đây cũng là một thông tin hữu ích”.
Người dùng Mac OS X sử dụng trình duyệt Safari của Apple cũng được chuyển hướng tương tự như người dùng Firefox. Tuy nhiên bản cập nhật Flash Media Player giả mạo trên Safari cho người dùng Mac OS đã được tùy biến, nếu người dùng click vào link video, họ sẽ tải xuống file thực thi OS X .dmg, file này cũng là phần mềm quảng cáo.
Tương tự, với trường hợp người dùng Linux sẽ được chuyển hướng đến trang mục tiêu khác được thiết kế dành riêng cho người dùng Linux, đây chính là lý do vì sao cần cẩn thận với những link video trên Facebook Messenger.
Những kẻ tấn công đằng sau chiến dịch không sử dụng các nền tảng Banking Trojan hoặc khai thác các lỗ hổng bảo mật mà sử dụng phần mềm quảng cáo để kiếm tiền bằng cách tạo ra doanh thu từ quảng cáo.
Các chiến dịch Spam trên Facebook đã không còn xa lạ gì. Cách đây vào năm, các nhà nghiên cứu đã phát hiện tội phạm không gian mạng sử dụng các file hình ảnh .JPG “dấu” phần mềm độc hại của họ và phát tán các biến thể của ransomware Locky cho người dùng Facebook, mã hóa tất cả các file trên máy tính bị nhiễm mã độc cho đến khi đòi được tiền chuộc.
Để bảo vệ mình an toàn, tốt nhất nên cẩn thận với những link video trên Facebook Messenger, bên cạnh đó sử dụng các phần mềm diệt virus cũng là lựa chọn an toàn, như vậy bạn cần tuyệt đối không click vào bất kỳ link video nào cũng như cài đặt các phần mềm diệt virus tốt nhất cho máy tính để bảo vệ hệ thống của bạn an toàn hơn.