Hacker đã làm thế nào để gắn mã độc vào comment trên Instagram?

Steve |

Việc truy cập vào bài đăng từ thần tượng của bạn có thể mang lại nguy hại không nhỏ.

Mới đây, hãng bảo mật ESET đã đưa ra cảnh báo nghiêm trọng về một nhóm hacker Nga nguy hiểm vốn chuyên tấn công các hệ thống chính phủ khắp thế giới chuyển sang sử dụng các mạng xã hội làm vỏ bọc cho cuộc tấn công ngầm.

Nhóm này sử dụng lợi thế của các ứng dụng mạng xã hội như Instagram để tránh sự kiểm soát malware thâm nhập một khi nó làm hỏng cả hệ thống chính.

Bằng cách đơn giản đến khó tin, chính những bình luận trên mạng xã hội phối hợp với những gói mở rộng (extension) trên trình duyệt web được sử dụng trong cách thức tấn công này.

Hacker đã làm thế nào để gắn mã độc vào comment trên Instagram? - Ảnh 1.

Tài khoản của Britney Spears bị hacker lợi dụng một cách khéo léo

Những cuộc tấn công gần đây nhất được nhóm này thực hiện trên tài khoản Instagram của ca sĩ nổi tiếng Britney Spears.

Cụ thể, theo ESET, phương thức tấn công cửa hậu (backdoor) được áp dụng bằng cách lợi dụng phần bình luận tại một bức ảnh bất kỳ trên Instagram của Britney, bình luận đó có nhiệm vụ định vị một server điều khiển với có trách nhiệm gửi các định hướng để từ đó giảm tải những dữ liệu lấy được từ các máy tính bị nhiễm.

Kỹ thuật mới này được xác định nhằm lan truyền malware nổi tiếng Turla.

Sở dĩ kỹ thuật nghe có vẻ đơn giản này lại là điều mới với giới bảo mật, đó là các hacker luôn tìm nhiều cách khác nhau để có thể phủ mặt nạ (masking) che giấu địa điểm và các server thực, khiến chúng khó có thể bị nhận diện hơn.

Những kẻ tấn công không hề trực tiếp tham chiếu các server điều khiển, dù là ở trong malware hay ở phần bình luận. Kỳ thực, phần bình luận nguy hại này nhìn qua thì rất vô hại, nhưng dưới góc nhìn bảo mật thì lại rất có vấn đề.

Cách làm mới nhất những kẻ tấn công áp dụng chính là sử dụng extension trên trình duyệt Firefox nhằm giải mã những bình luận nhìn qua thì rất bình thường nhưng lại chính là đường dẫn tới malware. Ví dụ như extension dưới đây, hoàn toàn hợp lệ, hợp pháp, được đăng ký dưới tên một công ty ma tại Thụy Sĩ.

Hacker đã làm thế nào để gắn mã độc vào comment trên Instagram? - Ảnh 2.

Bây giờ, chúng ta hãy cùng xem cụ thể hacker đã sử dụng Turla như thế nào trong post Instagram này của Britney Spears.

Bạn hãy để ý comment được khoanh vùng, extension độc hại trên sẽ “nhận ra” comment này bằng cách duyệt qua tất cả các bình luận, mỗi khi gặp giá trị hash định trước (ở đây là 183) thì sẽ xử lí tiếp bình luận đó.

Bình luận này tuy tương đối vô nghĩa về cả mặt hashtag và ý nghĩa, nhưng về cơ bản ngôn ngữ thì lại rất đỗi bình thường. Nhưng khi extension chạy chuỗi biểu thức chính quy (regular expression) sau đây, thì điều thú vị về comment này sẽ xuất hiện: (?:\\u200d(?:#|@)(\\w)

Cụ thể, biểu thức chính quy này sẽ tìm kiếm cả kí tự thường “@|#” hay một kĩ tự Unicode đặc biệt “\200d”. Với bạn chưa biết, kí tự “\200d” được sử dụng để tạo khoảng cách giữa các emoji khi chúng nằm cạnh nhau.

Nếu copy/paste comment trên hoặc xem trong source code có thể thấy comment trên đầy đủ phải là như sau:

smith2155<200d>#2hot ma<200d>ke lovei<200d>d to <200d>her, <200d>uupss <200d>#Hot <200d>#X

Khi giải chuỗi kí tự trên, chúng ta sẽ nhân được ý nghĩa thực của nó là một địa chỉ bit.ly cấu thành theo đúng thứ tự của các kĩ tự nằm sau <200d> hoặc # như sau: “2kdhuHX”. Hãy kiểm tra đường link “bit.ly/2kdhuHX” này một chút, nó trỏ tới địa chỉ sau: “static.travelclothes.org/dolR_1ert.php”.

Địa chỉ này đã được chứng minh là từng được sử dụng trong quá khứ cho các cuộc tấn công của nhóm hacker này. Và như mọi đường link bit.ly khác, chúng ta có thể có thống kê về đường link này như sau:

Hacker đã làm thế nào để gắn mã độc vào comment trên Instagram? - Ảnh 3.

Có thể thấy, bài post gốc của Britney Spears được đăng vào ngày 7/1, còn đường link (cũng như comment) được tạo ra vào ngày 6/2. Kết hợp với việc mới chỉ có 17 lượt truy cập, chúng ta có thể kết luận bình luận này chỉ là một thử nghiệm của nhóm hacker.

Tuy vậy, từ trường hợp này, chúng ta có thể nhận ra rằng mình có thể bị malware xâm hại dễ dàng dù truy cập website mạng xã hội “bình thường”, sử dụng extension nhìn cũng rất “bình thường” và hợp pháp.

Dù cho chúng ta không phải mục tiêu của nhóm hacker này (mục tiêu chính của họ luôn là các tổ chức chính phủ), nhưng rõ ràng là rất mất an toàn cho bất kì dữ liệu nào của chúng ta khi bị malware lợi hại như Turla xâm nhập.

Cần phải chú ý, số lượng extension tương tự như vậy tạo ra bởi nhóm hacker là không hề nhỏ. Nhóm phát triển trình duyệt Firefox sau khi biết được vẫn đang làm việc để loại bỏ các extension độc hại tương tự một cách hiệu quả nhất.

Ở thời điểm hiện tại, chúng tôi có lời khuyên bạn đọc tốt nhất nên tránh sử dụng các extension lạ, nhằm đề phòng hậu quả đáng tiếc cho bạn và những người khác.

theo Trí Thức Trẻ

Đọc tin khám phá, khoa học vũ trụ mới nhất tại Soha. Đường dây nóng: 0943 113 999

Soha
Trí Thức Trẻ
    Công ty Cổ phần VCCorp

    © Copyright 2010 - 2023 – Công ty Cổ phần VCCorp

    Tầng 17,19,20,21 Toà nhà Center Building - Hapulico Complex,
    Số 1 Nguyễn Huy Tưởng, Thanh Xuân, Hà Nội.
    Email: btv@soha.vn
    Giấy phép thiết lập trang thông tin điện tử tổng hợp trên mạng số 2411/GP-TTĐT do Sở Thông tin và Truyền thông Hà Nội cấp ngày 31 tháng 07 năm 2015.
    Chịu trách nhiệm nội dung: Ông Nguyễn Thế Tân
    Điện thoại: 024 7309 5555

    Liên hệ quảng cáo:
    Hotline: 0794.46.33.33 - 0961.98.43.88
    Email: giaitrixahoi@admicro.vn
    Hỗ trợ & CSKH:
    Tầng 20, tòa nhà Center Building, Hapulico Complex,
    số 1 Nguyễn Huy Tưởng, phường Thanh Xuân Trung, quận Thanh Xuân, Hà Nội.
    Tel: (84 24) 7307 7979
    Fax: (84 24) 7307 7980
    Chính sách bảo mật

    Chat với tư vấn viên