Cơ chế hoạt động của malware ẩn trong file SVG phát tán qua Facebook Messenger
Duy Luân
4 nămBình luận: 45
Cơ chế hoạt động của malware ẩn trong file SVG phát tán qua Facebook Messenger
Từ hôm qua đến nay trên Facebook Messenger có rất nhiều người bị gửi cho một file hình ảnh định dạng SVG từ bạn bè hoặc người lạ (tên dạng Photo_xxxx.svg). File ảnh này bản thân nó không phải cái xấu, nhưng hacker đã lợi dụng SVG để chèn mã độc vào và nếu lỡ download về rồi mở ra thì máy tính của bạn sẽ dính ransomware ngay lập tức. Chuyên gia bảo mật Bart Blaze đã giải thích cho chúng ta biết cơ chế của vụ tấn công này và cách phòng tránh trong những trường hợp về sau.

Đầu tiên hãy nói về định dạng SVG, vì sao hacker lại chọn định dạng này để phát tán mã độc? SVG viết tắt cho chữ Scalable Vector Graphics, nó là một loại file hình ảnh dạng vector được cấu thành từ rất nhiều điểm nối với nhau. Cho bạn nào chưa biết, ảnh vector khác ảnh bitmap (JPEG, PNG, GIF...) ở chỗ chúng sử dụng các tọa độ điểm để xây dựng nên hình ảnh nên bạn có thể phóng to ảnh vector lên to như cả tòa tháp mà vẫn không lo bị bể, trong ảnh JPEG chỉ cần phóng to ra một chút là để xảy ra hiện tượng vỡ pixel. SVG được dùng trong ngành thiết kế cũng như trên các website hiện đại với mục đích cho phép phóng to, thu nhỏ thoải mái mà không bị bể ảnh. Bên dưới là ảnh chụp bên trong 1 file SVG.

File_SVG_code_XML.jpg

SVG chứa những tọa độ vector, màu sắc, nhưng song song đó nó cũng chứa thêm các đoạn mã JavaScript để phục vụ cho việc tạo hình ảnh chuyển động. Trong trường hợp của con malware trên, đoạn mã JavaScript sẽ được trình duyệt thực thi và chuyển hướng bạn sang một website trông giống như YouTube (tất nhiên đường link khác hoàn toàn). Website đó sẽ hiện thông báo yêu cầu bạn download một plugin dành cho Chrome để xem được video, plugin này có 2 tên là Ubo và One.

Sau khi cài xong, plugin sẽ cho phép kẻ tấn công chỉnh sửa, can thiệp vào bất kì website nào mà bạn ghé thăm, cũng như tận dụng quyền truy cập vào tài khoản Facebook của bạn thông qua trình duyệt để lén gửi tin đến bạn bè của bạn với cùng file SVG như trên.

Chưa hết, đoạn mã trong file SVG còn chứa trình download để tải về con ransomware tên Locky ransomware về máy tính của người dùng, theo thông tin từ một nhà nghiên cứu bảo mật khác. Locky là một trong số những ransomware nổi tiếng nhất hiện nay bởi nó sẽ dùng thuật toán mã hóa file của bạn rồi đòi tiền chuộc để giải mã file bằng thuật toán RSA-2048 và AES-1024. Đáng lưu ý là không phải người nào click vào file SVG mã độc cũng bị dính Locky, không loại trừ khả năng có ai đó đã can thiệp vào rồi chèn Locky vô để tăng thêm tính nguy hiểm rồi tiếp tục phát tán nó.

Hiện chưa rõ vì sao file SVG có thể vượt qua danh sách filter của Facebook, chỉ biết là nhóm bảo mật của cả Facebook lẫn Google đều đã được thông báo về tình hình. Google đã gỡ bỏ extension chứa mã độc trên Chrome Store, còn Facebook thì nói vụ tấn công không gây ảnh hưởng lớn vì cần nhiều bước cài đặt thêm sau đó, thông tin về Locky cũng không chính xác.

Nếu bạn đã lỡ click vào file SVG này và đã tải extension Chrome, trước mắt hãy gỡ extension này ra bằng cách vào Menu → More Tools → Extensions, kiếm tên Ubo hoặc One rồi chọn Remove. Còn nếu bị dính Locky, chúa phù hộ bạn, hi vọng bạn đã backup máy tính của mình để có thể restore lại.

Tham khảo: The Hacker New
cv_ransomware_Locky_SVG_facebook_messenger.jpg
Có bạn gửi cho rồi, click vào nó kêu cài add on nên cancel luôn, hên quá hê hê
danlv
TÍCH CỰC
4 năm
các antivirus đã phát hiện ra file này chưa nhỉ 😔
nhancom3d
ĐẠI BÀNG
4 năm
@danbtrs Bản thân file này ko phải virut, mà chỉ chứa liên kết đến trang lừa người dùng cài plugin chứa virut thôi. Nếu ko cài plugin thì ko bị làm sao.
@nhancom3d File này là một dạng virus, plugins đó không phải virus mà có thể cấp quyền để cho file đó hoạt, nếu không có plugins thì file đó gần như không làm được gì, với những plugins kiểu này thường cần có can thiệp/đồng ý của người dùng. Dù plugins không phải virus nhưng google cũng có một phần trách nhiệm khi chấp nhận để những plugins vô dụng, mạo danh tồn tại trên kho. Đương nhiên những trường hợp kiểu này người dùng là mắt xích yếu nhất, dễ bị khai thác nhất.
@danbtrs nếu mảng Is tốt thì có thể chống dc
tưởng hacker gửi file xvideos
khoaslim
TÍCH CỰC
4 năm
Có thanh niên nào bị chưa ?
ANHLE479
TÍCH CỰC
4 năm
Vâng, hôm qua giờ nhận rất nhiều, thằng bạn gởi em và em không dám xem, em chuyển tiếp đứa khác xem hộ, thế là nó bị nhiễm và chửi em
verybeo
TÍCH CỰC
4 năm
@ANHLE479 Quỳ =))))
Cái kho của GG đúng là ai muốn úp j đó úp cũng được😕
nãy cũng nhận dc file như thế nhưng nó bắt cài thêm cái gì nữa mới xem đc a à 😁
omega911
TÍCH CỰC
4 năm
Virus nhà quê. Qua quá trời bước chỉ để người dùng cài extension.
zzvilzz
TÍCH CỰC
4 năm
@omega911 Nó vốn không phải là virus, chỉ đơn thuần là redirect sang Chrome Web Store rồi bảo người dùng tự cài extension vào thôi 😃
thienlucky
ĐẠI BÀNG
4 năm
@omega911 Bạn mới "nhà quê" ấy, nghiệp dư mà phán như đúng rồi!
chắc chỉ chrome mới bị, mình xài firefox😁
spnova165
ĐẠI BÀNG
4 năm
hôm bữa có ông cậu tự dưng gửi cho 1 file html. mở ra cũng gần giống thế này 😁 có tầm này thôi thì chưa thể nào sập bẫy được, mấy người nhẹ dạ cả tin, và không có nhiều hiểu biết mới dính thôi;)
jing
CAO CẤP
4 năm
ghê quá, trong máy toàn ảnh ng yêu
Xém dính, thằng bạn một ngày gửi cả chục bức. Hên là không bấm
ngoanrazo
TÍCH CỰC
4 năm
Mới cài lại win hồi sáng vì virus nó replace trang chủ chrome
trungking
TÍCH CỰC
4 năm
@ngoanrazo neus sợ mấy loại adware như thế thì bjan nên cài malwarebyte nhé, nhẹ nhàng giúp chống các loại lầm thay đổi trng chủ trình duyệt
còn gỡ ra thì cũng đc đâu cần đến cài lại win
ngoanrazo
TÍCH CỰC
4 năm
@trungking gỡ ra cài lại vài bữa là bị mà bác, nó tự install mấy cái app khác nữa, virus nó ăn vào core của windows luôn rồi diệt ko đc
mynkp
TÍCH CỰC
4 năm
nhận cùng 1 lúc 2 file .SVG của 2 người ko bao giờ chat là hiểu ngay vấn đề 😁
Tommy297
TÍCH CỰC
4 năm
Với mấy bác có kinh nghiệm thì không vấn đề gì nhưng newbie và mấy e gái thì không rành vụ này là dính chắc,topic " có nên cài ct virus không ? " thì đây là câu trả lời :p
Buồn nhỉ sao chả ai gửi cái thứ này cho mình nhỉ
May quá bị gửi nhiều nhưng chưa nhấn vào cái nào
😁:D:D
Hèn chi iOS của mình bị dính mã độc :oops:


Tải app Tinh tế

Tải app Tinhte - Theo dõi thông tin mà bạn yêu thích

Tải app TinhteTải app Tinhte
Tải app Tinh tế cho Android trên Google PlayTải app Tinh tế cho iPhone, iPad trên App Store





Đang theo dõi




  • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
  • © 2021 Công ty Cổ phần MXH Tinh Tế
  • Địa chỉ: 209 Đường Nam Kỳ Khởi Nghĩa, Phường 7, Quận 3, TP.HCM
  • Số điện thoại: 02862713156
  • MST: 0313255119
  • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019