Phân tích mã độc Javascript Facebook

Phân tích mã độc Javascript Facebook

Như chúng ta thấy ngày nay hiện tượng Facebook của chúng ta tự động like, share, follow... các FanPage, ảnh, status.... diễn ra rất phổ biến. Nguyên nhân là do chúng ta đã bị nhiễm phải một loại mã độc chạy trên trình duyệt. Để mọi người hiểu rõ hơn về loại mã độc này. Hôm nay mình sẽ phân tích một số kỹ thuật mà loại mã độc này sử dụng.

Giới thiệu qua về mã độc javascript trên Facebook
Mã độc javascript trên Facebook là các đoạn mã kẻ xấu dùng để like, share, follow… một trạng thái, bài viết, trang quảng cáo… hoặc có thể dùng với mục đích ăn cắp tài khoản của người dùng. 

Nguyên lí hoạt động của mã độc
Nguyên lí chung để viết một đoạn mã giả mạo một hành vi của người dùng trên facebook là dùng Javascript gửi một gói tin giả mạo lên máy chủ của Facebook. Nội dung của gói tin giả mạo được xem bằng Developers Tools – Network (F12) và gửi thì bằng phương thức XMLHttpRequest của Javascript. Đoạn mã độc này có thể ẩn nấp dưới dạng như lừa người dùng chạy một đoạn Javascript để thay đổi giao diện của facebook, hay cài một Extension (tiện ích) để xem một video…

Thông tin về mẫu phân tích
- File type: Javascript
- Kích thước: 81.7 KB
- Chạy trong Developers Tools – Console

Các hành vi của mẫu:
Mã độc like một số trạng thái, bức ảnh, danh sách…


Hình 1: Hành vi tự động like
Thay đổi giao diện của facebook trong phiên sử dụng hiện tại


Hình 2: Hành vi thay đổi giao diện trang Facebook
Kỹ thuật sử dụng
1. Javascript để like, follow, share…
Đoạn mã trong mẫu thực hiện hành vi like một trang:

Hình 3: Kỹ thuật tự động like FanPage

Đoạn mã trong mẫu thực hiện hành vi like một status, bức ảnh:

Hình 4: Kỹ thuật tự động like status, ảnh...
Đoạn mã lấy danh sách bạn bè:

Hình 5: Kỹ thuật lấy danh sách bạn bè
Đoạn mã theo dõi:

Hình 6: Kỹ thuật Follow
2. Chèn CSS vào trang để thay đổi giao diện hiện tại

Hình 7: Kỹ thuật thay đổi giao diện Facebook
Cách phát hiện
1. Vào Nhật kí hoạt động xem lại các hoạt động: ở đây liệt kê các tất cả các hoạt động, tìm kiếm xem có hoạt động nào bất thường…

Hình 8: kiểm tra nhật ký hoạt động để phát hiện mã độc kịp thời
2. Kiểm tra lại các tiện ích trên trình duyệt: phát hiện các tiện ích trái phép mà chúng ta không cài đặt


Hình 9: Kiểm tra các extension trên trình duyệt

Trên đây là bài phân tích về kỹ thuật tự động like, share, follow... của dòng mã độc sửa dụng javascript trên trình duyệt và cách phát hiện loại mã động này. Bài viết còn nhiều thiếu xót, rất mong nhận được sự góp ý của các bạn.