Mã độc lây nhiễm cho 110 ngàn người dùng Facebook dưới dạng cập nhật Flash

Một trojan đã lây nhiễm cho hơn 110 ngàn tài khoản người dùng của Facebook chỉ trong vòng hai ngày một cách vô cùng ngoạn mục.

Phần mềm độc hại này đã tự nhân rộng và phát tán nó bằng việc đăng các đường link dẫn đến web đen từ những tài khoản đã bị nhiễm độc của các nạn nhân. Các nội dung bài đăng này thường không nhiều hơn 20 người trong danh sách bạn bè bị tag vào bài. Khi người dùng click vào video trong bài viết, video sẽ bắt đầu phát nhưng dừng lại và gửi thông báo hỏi họ có muốn cài đặt hay cập nhật phần mềm chạy Flash (giả mạo và kèm mã độc mà người dùng không biết) để xem video rõ hơn hay không. Thực chất đó chỉ là yêu cầu để nạn nhân tự tay tải phần mềm độc hại về máy của mình.

Theo những điều tra ban đầu từ chuyên viên bảo mật Mohammad Faghani tiết lộ, các phần mềm độc hại có thể điều khiển thao tác nhấn phím và rê chuột. Một dấu hiệu cho thấy sự lây nhiễm là sự xuất hiện của Chrome.exe trong hệ thống Windows.

Không giống như những mã độc trước đây từng hoành hoành Facebook là lan truyền các đường link độc hại qua tin nhắn riêng giữa những người trong danh sách bạn bè, trojan này sử dụng kĩ thuật được gọi là “Magnet”.

Trojan đã lây nhiễm cho hơn 110 ngàn tài khoản người dùng của Facebook chỉ trong vòng hai ngày

Bằng cách tạo ra những nội dung kèm mã độc và gắn thẻ nhiều người vào, nó có thể được nhìn thấy bởi những người khác, dẫn đến việc lan truyền rộng rãi hơn. Loại trojan này vẫn đang được theo dõi và nghiên cứu vì tính chất phức tạp của nó.

Hash MD5 của phần mềm Flash Player giả mạo là “cdcc132fad2e819e7ab94e5e564e8968”.

Hash SHA1 là “b836facdde6c866db5ad3f582c86a7f99db09784”.

Ông Fagani cũng lưu ý là tập tin độc hại xâm nhập vào chromium.exe, wget.exe, arsiv.exe và verclsid.exe khi nó được khởi chạy và kết nối với www[dot]filmver[dot]com and www[dot]pornokan[dot]com.

Hiện trang Threatpost đã liên hệ với Facebook về vấn đề này để ngăn chặn các liên kết độc hại dẫn đến các chương trình kể trên.

“Trong trường hợp này, chúng tôi nhận thấy những nhánh phần mềm độc hại thường được lưu trữ như một phần tiện ích mở rộng của trình duyệt và phát tán đến các liên kết website mạng xã hội. Chúng tôi đang thực hiện loại bỏ những liên kết đến các phần mềm độc hại giả mạo, hay các tùy chọn phần mềm dọn dẹp cũng như nghiên cứu các phương pháp bổ sung khác để đảm bảo người dùng trải nghiệm Facebook một cách an toàn nhất”.

Xuân Dung

(*) Vui lòng trích dẫn nguồn Kaspersky Care khi sao chép bài viết này