Gần đây, tội phạm mạng đã lan truyền các phần mềm độc hại tới người dùng mạng xã hội bằng một cách rất phổ biến. Đó là thu hút họ truy cập vào các website giả mạo giống hệt website chính chủ thông qua cửa sổ được cài đặt như những tiện ích mở rộng của Chrome.
Các chuyên gia bảo mật đã cảnh báo người dùng về một vụ lây lan phần mềm độc hại xuất hiện từ khoảng tháng 3 năm nay 2018. Hiện có hơn 100.000 người dùng bị lây nhiễm trên toàn thế giới.
Phần mềm độc hại này là được gọi là Nigelthorn. Lý do của tên gọi này là vì một trong những phần mềm mở rộng độc hại là bản sao của tiện ích mở rộng phổ biến Nigelify. Nigelify được thiết kế để thay thế tất cả các hình ảnh trên một website bằng gif của ‘Nigel Thornberry’.
Nigelthorn lan truyền thông qua các liên kết trên Facebook và lây nhiễm hệ thống của người dùng bằng các tiện ích mở rộng của trình duyệt độc hại. Hacker lợi dụng nó để đánh cắp thông tin trên mạng xã hội của nạn nhân (tên đăng nhập, mật khẩu…) và cài đặt các mã độc đào tiền ảo hay quảng cáo lừa đảo.
Được biết, Nigelthorn lan truyền được qua ít nhất 7 tiện ích mở rộng Chrome – được cung cấp trên Chrome Web Store chính thức của Google. Công ty bảo mật mạng Radware cho biết, Nigethorn lần đầu được phát hiện khi “mạng lưới được bảo vệ tốt” của một trong những khách hàng của họ bị tấn công. Hacker lợi dụng Nigelthorn để chèn một mã độc ngắn vào bản sao các tiện ích mở rộng của Chrome, nhằm lách các kiểm tra xác thực của Google.
Nigelthorn lan truyền qua các liên kết trên Facebook
Nigelthorn đang lan truyền nhanh chóng qua các liên kết trên Facebook. Khi nhấp vào liên kết độc hại, người dùng sẽ được chuyển hướng đến trang Youtube giả mạo và được yêu cầu tải tiện ích mở rộng Chrome (đã bị chèn mã độc) để tiếp tục xem video. Sau khi được cài đặt, Nigelthorn chạy một mã JavaScript độc hại, khiến máy tính nạn nhân trở thành một phần của botnet.
Đây không phải lần đầu có một phần mềm độc hại sử dụng cách tấn công này. Năm ngoái, phần mềm độc hại Digimine cũng hoạt động bằng cách gửi các liên kết qua Facebook Messenger và cài đặt phần mở rộng độc hại. Nó cho phép hacker truy cập vào Facebook của nạn nhân và lây lan đến danh sách bạn bè của họ qua Messenger. Hay gần đây nhất là mã độc FacexWorm. FacexWorm gửi các liên kết qua Messenger rồi chuyển hướng người dùng đến trang YouTube giả mạo, yêu cầu họ cài đặt tiện ích mở rộng độc hại của Chrome.
NigelThorn đánh cắp mật khẩu Facebook/Instagram
Trở lại với Nigelthorn. Các chuyên gia cho biết, Nigelthorn tập trung vào việc đánh cắp thông tin đăng nhập vào Facebook và Instagram của nạn nhân. Sau đó, gửi các liên kết độc hại đến danh sách bạn bè của họ nhằm mở rộng phạm vi lây lan. Nếu bất kỳ ai trong danh sách bạn bè nhấp vào liên kết, quá trình lây lan sẽ lặp lại.
Nigelthorn còn tải xuống một công cụ đào tiền ảo, khai thác các loại tiền ảo như Monero/Bytecoin/Electroneum với thu nhập khoảng 1.000 đô la chỉ trong 6 ngày. Nigelthorn cũng liên tục ngăn người dùng xóa các phần mở rộng độc hại bằng cách tự động đóng tab mở rộng độc hại mỗi khi người dùng mở chúng. Ngoài ra, nó còn tránh được một loạt các công cụ dọn dẹp của Facebook và Google; thậm chí ngăn người dùng nhận xét, chỉnh sửa hay xoá bài đăng của mình.
Danh sách tiện ích mở rộng độc hại của Chrome
Danh sách 7 tiện ích mở rộng Chrome được phát hiện bị lây nhiễm Nigelthorn gồm có: Nigelify, PwnerLike, Alt-j, Fix-case, Divinity 2 Original Sin: Wiki Skill Popup, Keeprivate, iHabno.
Google hiện đã xóa tất cả các tiện ích chrome này tạo lỗ hổng bảo mật này. Nhưng nếu bạn đã cài đặt bất kỳ tiện ích nào trong số đó, hãy gỡ cài đặt ngay và thay đổi mật khẩu Facebook, Instagram cũng như các tài khoản khác có cùng thông tin đăng nhập. Hiện nay, Facebook Spam khá phổ biến, bạn cũng nên thận trọng khi nhấp vào liên kết hay tệp tin liên kết qua nền tảng các website khác.
Nguồn: thehackernews
