Từ hôm qua đến nay trên Facebook Messenger có rất nhiều người bị gửi cho một file hình ảnh định dạng SVG từ bạn bè hoặc người lạ (tên dạng Photo_xxxx.svg). File ảnh này bản thân nó không phải cái xấu, nhưng hacker đã lợi dụng SVG để chèn mã độc vào và nếu lỡ download về rồi mở ra thì máy tính của bạn sẽ dính ransomware ngay lập tức. Chuyên gia bảo mật Bart Blaze đã giải thích cho chúng ta biết cơ chế của vụ tấn công này và cách phòng tránh trong những trường hợp về sau.
Đầu tiên hãy nói về định dạng SVG, vì sao hacker lại chọn định dạng này để phát tán mã độc? SVG viết tắt cho chữ Scalable Vector Graphics, nó là một loại file hình ảnh dạng vector được cấu thành từ rất nhiều điểm nối với nhau. Cho bạn nào chưa biết, ảnh vector khác ảnh bitmap (JPEG, PNG, GIF...) ở chỗ chúng sử dụng các tọa độ điểm để xây dựng nên hình ảnh nên bạn có thể phóng to ảnh vector lên to như cả tòa tháp mà vẫn không lo bị bể, trong ảnh JPEG chỉ cần phóng to ra một chút là để xảy ra hiện tượng vỡ pixel. SVG được dùng trong ngành thiết kế cũng như trên các website hiện đại với mục đích cho phép phóng to, thu nhỏ thoải mái mà không bị bể ảnh. Bên dưới là ảnh chụp bên trong 1 file SVG.
SVG chứa những tọa độ vector, màu sắc, nhưng song song đó nó cũng chứa thêm các đoạn mã JavaScript để phục vụ cho việc tạo hình ảnh chuyển động. Trong trường hợp của con malware trên, đoạn mã JavaScript sẽ được trình duyệt thực thi và chuyển hướng bạn sang một website trông giống như YouTube (tất nhiên đường link khác hoàn toàn). Website đó sẽ hiện thông báo yêu cầu bạn download một plugin dành cho Chrome để xem được video, plugin này có 2 tên là Ubo và One.
Sau khi cài xong, plugin sẽ cho phép kẻ tấn công chỉnh sửa, can thiệp vào bất kì website nào mà bạn ghé thăm, cũng như tận dụng quyền truy cập vào tài khoản Facebook của bạn thông qua trình duyệt để lén gửi tin đến bạn bè của bạn với cùng file SVG như trên.
Chưa hết, đoạn mã trong file SVG còn chứa trình download để tải về con ransomware tên Locky ransomware về máy tính của người dùng, theo thông tin từ một nhà nghiên cứu bảo mật khác. Locky là một trong số những ransomware nổi tiếng nhất hiện nay bởi nó sẽ dùng thuật toán mã hóa file của bạn rồi đòi tiền chuộc để giải mã file bằng thuật toán RSA-2048 và AES-1024. Đáng lưu ý là không phải người nào click vào file SVG mã độc cũng bị dính Locky, không loại trừ khả năng có ai đó đã can thiệp vào rồi chèn Locky vô để tăng thêm tính nguy hiểm rồi tiếp tục phát tán nó.
Hiện chưa rõ vì sao file SVG có thể vượt qua danh sách filter của Facebook, chỉ biết là nhóm bảo mật của cả Facebook lẫn Google đều đã được thông báo về tình hình. Google đã gỡ bỏ extension chứa mã độc trên Chrome Store, còn Facebook thì nói vụ tấn công không gây ảnh hưởng lớn vì cần nhiều bước cài đặt thêm sau đó, thông tin về Locky cũng không chính xác.
Nếu bạn đã lỡ click vào file SVG này và đã tải extension Chrome, trước mắt hãy gỡ extension này ra bằng cách vào Menu → More Tools → Extensions, kiếm tên Ubo hoặc One rồi chọn Remove. Còn nếu bị dính Locky, chúa phù hộ bạn, hi vọng bạn đã backup máy tính của mình để có thể restore lại.
Đầu tiên hãy nói về định dạng SVG, vì sao hacker lại chọn định dạng này để phát tán mã độc? SVG viết tắt cho chữ Scalable Vector Graphics, nó là một loại file hình ảnh dạng vector được cấu thành từ rất nhiều điểm nối với nhau. Cho bạn nào chưa biết, ảnh vector khác ảnh bitmap (JPEG, PNG, GIF...) ở chỗ chúng sử dụng các tọa độ điểm để xây dựng nên hình ảnh nên bạn có thể phóng to ảnh vector lên to như cả tòa tháp mà vẫn không lo bị bể, trong ảnh JPEG chỉ cần phóng to ra một chút là để xảy ra hiện tượng vỡ pixel. SVG được dùng trong ngành thiết kế cũng như trên các website hiện đại với mục đích cho phép phóng to, thu nhỏ thoải mái mà không bị bể ảnh. Bên dưới là ảnh chụp bên trong 1 file SVG.
SVG chứa những tọa độ vector, màu sắc, nhưng song song đó nó cũng chứa thêm các đoạn mã JavaScript để phục vụ cho việc tạo hình ảnh chuyển động. Trong trường hợp của con malware trên, đoạn mã JavaScript sẽ được trình duyệt thực thi và chuyển hướng bạn sang một website trông giống như YouTube (tất nhiên đường link khác hoàn toàn). Website đó sẽ hiện thông báo yêu cầu bạn download một plugin dành cho Chrome để xem được video, plugin này có 2 tên là Ubo và One.
Sau khi cài xong, plugin sẽ cho phép kẻ tấn công chỉnh sửa, can thiệp vào bất kì website nào mà bạn ghé thăm, cũng như tận dụng quyền truy cập vào tài khoản Facebook của bạn thông qua trình duyệt để lén gửi tin đến bạn bè của bạn với cùng file SVG như trên.
Chưa hết, đoạn mã trong file SVG còn chứa trình download để tải về con ransomware tên Locky ransomware về máy tính của người dùng, theo thông tin từ một nhà nghiên cứu bảo mật khác. Locky là một trong số những ransomware nổi tiếng nhất hiện nay bởi nó sẽ dùng thuật toán mã hóa file của bạn rồi đòi tiền chuộc để giải mã file bằng thuật toán RSA-2048 và AES-1024. Đáng lưu ý là không phải người nào click vào file SVG mã độc cũng bị dính Locky, không loại trừ khả năng có ai đó đã can thiệp vào rồi chèn Locky vô để tăng thêm tính nguy hiểm rồi tiếp tục phát tán nó.
Hiện chưa rõ vì sao file SVG có thể vượt qua danh sách filter của Facebook, chỉ biết là nhóm bảo mật của cả Facebook lẫn Google đều đã được thông báo về tình hình. Google đã gỡ bỏ extension chứa mã độc trên Chrome Store, còn Facebook thì nói vụ tấn công không gây ảnh hưởng lớn vì cần nhiều bước cài đặt thêm sau đó, thông tin về Locky cũng không chính xác.
Nếu bạn đã lỡ click vào file SVG này và đã tải extension Chrome, trước mắt hãy gỡ extension này ra bằng cách vào Menu → More Tools → Extensions, kiếm tên Ubo hoặc One rồi chọn Remove. Còn nếu bị dính Locky, chúa phù hộ bạn, hi vọng bạn đã backup máy tính của mình để có thể restore lại.
Tham khảo: The Hacker New
