Cảnh giác mã độc mới lây lan qua Facebook Messenger

Mã độc này khá tinh vi, giống như bạn nhận được một đường link video từ một người quen. Ngay khi click vào đó để xem, phần mềm độc hại sẽ tự tải về.

Các nhà nghiên cứu bảo mật tại Kaspersky Lab vừa phát hiện ra một loại mã độc đa nền tảng mới được lây lan qua tin nhắn Facebook. Người dùng sẽ nhận được một tin nhắn từ bạn bè trên Facebook, trong đó có một liên kết video. Nếu click vào liên kết video, người dùng sẽ được chuyển hướng đến một trang web độc hại và tự tải xuống phần mềm độc hại.

Theo Kaspersky Lab, kẻ tấn công sử dụng kỹ thuật social engineering để lừa nạn nhân nhấp vào liên kết video được gửi từ một trong những người bạn trên Facebook của họ, tin nhắn có dạng: Tên bạn bè + Video + liên kết bit.ly.

Hiện vẫn chưa rõ ràng cách lây lan, nhưng các nhà nghiên cứu cho rằng kẻ tấn công sử dụng các tài khoản Facebook bị hack, các trình duyệt bị tấn công, hoặc các kỹ thuật clickjacking để phát tán liên kết độc hại. Mã độc này sử dụng rất nhiều các tên miền khác nhau để ngăn chặn sự theo dõi và phát hiện.

Cách thức hoạt động của mã độc

Liên kết video sẽ chuyển hướng nạn nhân tới Google doc hiển thị hình thu nhỏ của video, như một bộ phim có thể phát được. Nếu người dùng click vào hình ảnh đó người dùng sẽ được chuyển hướng tới một trang đích độc hại, trang đích này sẽ được tùy chỉnh tùy thuộc vào trình duyệt và hệ điều hành của người dùng.

Ví dụ: người dùng Mozilla Firefox trên Windows được chuyển hướng đến một trang web hiển thị thông báo cập nhật Flash Player Update giả mạo và sau đó cung cấp tệp thực thi Windows, dưới dạng phần mềm quảng cáo.

Người dùng Google Chrome được chuyển hướng đến một trang web giả mạo YouTube với logo tương tự của YouTube. Trang web sau đó hiển thị thông báo lỗi giả mạo, lừa người tải xuống phần mở rộng Google Chrome độc hại từ Google Web Store. Phần mở rộng này thực chất là một trình downloader sẽ tải về một file từ kẻ tấn công vào máy tính nạn nhân. Tương tự với người dùng Apple Mac OS X Safari khi sử dụng Firefox, nhưng có chút tùy biến với bản cập nhật giả mạo cho Flash Media Player, nếu được nhấp vào, nó tải xuống tệp tin .dmg, đây cũng là phần mềm quảng cáo.

Tương tự trong trường hợp của Linux, người dùng chuyển hướng đến trang đích khác được thiết kế cho người dùng Linux.

Các chiến dịch Spam trên Facebook là khá phổ biến. Một thời gian trước đây, các nhà nghiên cứu đã phát hiện ra kẻ tấn công sử dụng mã độc Locky bằng cách sử dụng các tệp tin hình ảnh .JPG nhằm che dấu mã độc của họ để lây nhiễm cho người sử dụng Facebook, mã hóa tất cả các tệp trên máy tính bị nhiễm cho đến khi trả tiền chuộc.

Làm gì để bảo vệ mình?

Để giữ an toàn, người dùng không nên tò mò muốn xem hình ảnh hoặc liên kết video được gửi bởi bất cứ ai, ngay cả bạn bè của mình, mà chưa xác nhận với họ, và hãy nhớ là luôn luôn cập nhật phần mềm chống virus của mình.