Công tybảo mậtESET phát hiện ra rằng có một loạimalwaremới của Nga giả danh làm plugin Firefox để lấy cắp thông tin, nhưng cái thú vị đó là nó không chứa sẵn đường link dẫn về trung tâm điều khiển của tin tặc (thứ mà hầu như mọi malware khác đều xài).
ảnh minh họa
Vậy làm sao nó hoạt động? Dựa vào 1 tấm ảnh trênInstagramcủa Britney Spears! Khi người bị lừa cài plugin này vào đúng tấm ảnh đó, plugin sẽ scan tất comment đang hiển thị trên trình duyệt và khi gặp comment do tài khoảnasmith2155đăng lên, plugin sẽ sử dụng thuật toán để giải mã nội dung bình luận thành đường link kết nối với server. Quả là một cách giấu tên miền rất thông minh.
Nói kĩ hơn một chút, comment của asmith2155 dường như là comment đã được soạn sẵn và post với mục đích dành riêng cho malware này. Khi malware chạy, nó sẽ "băm" mỗi comment thành một chuỗi gọi là hash, và khi gặp comment nào có chuỗi hash là183thì malware sẽ dừng và bắt đầu giải mã nội dung comment. Cuối cùng, nó thu được một đường link như sau:http://bit.ly/2kdhu..Link này là link rút gọn trỏ về một trang web khác là http://ift.tt/2s6jA4l,đây mới chính là link truy cập vào server điều khiển malware, và trước đó nó từng được xài cho một vụ tấn công mạng khác.
Dựa theo số liệu từ bit.ly, trong tháng 2 chỉ có 17 lượt truy cập vào link này, cho thấy rằng malware chỉ mới kích hoạt được đâu đó khoảng 17 lần. Con số này khá nhỏ, có thể tin tặc chỉ đang thử nghiệm mà thôi.
Nói về tác hại của plugin malware, nó sẽ lấy những thông tin trên máy tính của bạn rồi gửi lại cho hacker. Nó cũng có thể mở backdoor để thực thi các file mã độc khác, upload, download file từ trung tâm điều khiển (dùng cho mục đích tống tiền hoặc lén lấy thông tin của đối thủ cạnh tranh), thậm chí đọc luôn cả tên file có trong các thư mục trên máy tính và gửi về cho hacker. Trong tương lai, malware này sẽ biến chuyển theo những cách nguy hiểm hơn, nhưng may mắn là có nhiều hàm API được plugin sử dụng sẽ bị Firefox loại bỏ.
Vầy làm sao để phòng tránh? Như đã nói ở trên, malware này thực ra là một plugin Firefox giả dạng, vậy thì bạn chỉ cần gỡ bỏ đi những plugin không còn sử dụng và không cài plugin từ các website không rõ ràng. Plugin trên được phân phối qua một website đã bị cài mã độc để lừa người dùng bấm nút Install. Chỉ cần tỉnh táo là sẽ không bị "ăn hành".
