Skip to main content

Cảnh báo kẻ xấu lợi dụng Clickjacking extension để tạo "botnet"

Hôm nay có người bạn hỏi về extension có tên "Clickjacking Detect" trên "Chrome Web Store" có chức năng rất giống extension của mình...


Nghĩ là có bạn nào đó thấy mã nguồn của mình ở github nên cũng tạo và đăng extension dưới tên của họ để quảng cáo. Tuy nhiên cũng thấy hơi nghi nên đã tải về kiểm tra và phát hiện ra ngoài đoạn mã detect Clickjacking giống hệt extension của mình còn có một đoạn JavaScript chèn vào...

Hoạt động của extension này như sau:
  • Hiển thị các iframe ẩn clickjacking theo phương pháp của mình (vỏ bọc)
  • Nếu địa chỉ của trang đang xem có đoạn "facebook.com" thì sẽ bắt đầu hành vi xấu
    • Tải về lệnh điều khiển từ địa chỉ http://cuchay.tv/hay.php?pageid=1
    • Thực thi mã lệnh tải về nếu có.
    • Hiện tại với thông tin trả về từ server thì sẽ thực hiện 2 hành vi:
      • Like một trang Facebook có tên "SaoKlub" (id 264357593705349)
      • Like một ảnh trên Facebook

        Ảnh này thuộc một album của page "SaoKlub" ở trên, nằm trong khuôn khổ một cuộc thi ảnh dựa trên số likes.

Như vậy có thể kết luận người đăng extension này và chủ của trang CUCHAY đang cung cấp dịch vụ bán like để tấm ảnh trên giành chiến thắng (ảnh có 6654 likes, "SaoKlub" có 8836 likes). Sau khi kết thúc cuộc thi ở "SaoKlub", rất có thể sẽ thay đổi mã chạy để tiếp tục bán dịch vụ cho các bên khác.

Tóm lại, các bạn nên:
  1. Chỉ sử dụng extension từ các nguồn uy tín.
  2. Kiểm tra quyền của extension trước khi cài đặt.
  3. Mở rộng ra, khi cài ứng dụng trên thiết bị di động (Android/iOS) hay trên máy tính (Windows/Mac/Linux) cũng đều phải hết sức cẩn thận.
  4. Khi phát hiện hành vi xấu thì tìm cách báo cho đơn vị quản lý ví dụ trong trường hợp extension này thì báo cho Chrome Web Store để họ gỡ bỏ, báo cho chủ trang "SaoKlub" để họ có biện pháp xử lý tương ứng.
Cập nhật thêm tình tiết mới về người làm ra extension này. Thông tin phát tán extension bắt nguồn từ địa chỉ phathienlikean.com, kiểm tra thông tin DNS xác định tên miền này và tên miền cuchay.tv cùng trỏ về một server có địa chỉ IP 123.30.174.34 (server đặt tại datacenter của VDC). Ngoài trang PHATHIENLIKEAN, còn có 2 trang Facebook tham gia phát tán extension này là trang "Hot Clip" và "Cực Thích".

Cover của trang "Hot Clip" cho thấy trang này và tên miền cuchay.tv thuộc quyền quản lý của cùng một người.
Trang "Cực Thích" thì dù mới lập ngày 7/11 (tức là mới được 23 ngày) nhưng đã có 244k lượt likes. 

Truy tìm chủ của tên miền cuchay.tv cho thông tin về một người với các thông tin:

Truy ngược từ email thì lần ra mỗi liên kết với một tài khoản ở DDTH và soha.vn:


Từ tên tài khoản (khá đặc biệt) và số điện thoại này, truy ra thêm một số thông tin:
  • Xác nhận tên và số điện thoại (svptit.vn)
  • Sinh tháng 2, 1990 (vozForum)
  • Học CNTT (Học viện Công nghệ Bưu chính Viễn thông) (vozForum)
  • Quê Hải Phòng (vozForum)
  • Nằm quyền quản lý tên miền e-digital.vn (cũng trỏ về cùng server 123.30.174.34, chắc cả nhà cả cửa có một con dedicated)
  • Facebook ID 100000040520348 (để truy cập gõ "facebook.com/id" vào thanh địa chỉ)


Labels:

Comments

Post a Comment

Popular posts from this blog

Flutter: Fixing Firebase header not found with Notification Service Extension

If you follow the FCM tutorial Send an image in the notification payload and encountered this error message: 'FirebaseMessaging/FirebaseMessaging.h' file not found You are on the right place, I'm going to show you how to fix it. My app was working fine but one day it stopped compiling. Apparently Flutter 1.20 changed the way it uses CocoaPod so the service extension no longer has the proper library configured. After some tinkering, I came up with this pod config, it has to be added to ios/Podfile below the main Runner target. target 'FcmImage' do use_frameworks! use_modular_headers! require File.expand_path('../.symlinks/plugins/firebase_core/ios/firebase_sdk_version.rb', __FILE__) firebase_sdk_version = firebase_sdk_version! pod 'Firebase/Messaging', "~> #{firebase_sdk_version}" end FcmImage is my extension name, replace it with yours We can use a hardcoded version for Firebase/Messaging pod but doing so m...
Post a Comment
Read more

Replacing GCP with Railway for faster cold start

TL;DR I switched a Dart API from Cloud Run to Railway for a 300% faster cold start, simplified DevOps, and a straightforward fee structure. Problem I'm working on this project github.com/daohoangson/flutter_widget_from_html . It is a pub.dev package that's super handy for Flutter developers who want to seamlessly render HTML in their apps. Now, when it comes to HTML, it can get pretty dynamic, right? That's why having a playground to showcase features, troubleshoot issues, and tackle bugs is crucial. The Google team has this fantastic tool called dartpad.dev , which is just perfect for this kind of thing. However, there's a little catch - third-party packages like mine usually can't be used there (unless you have thousands of likes, as explained on  Medium ). So I decided to take matters into my own hands, forked it, then deployed try.fwfh.dev with additional package support. Initial idea since 2019 First deployment  in 2021 Cl...
Post a Comment
Read more

OAuth with Google, Twitter and... Facebook!

This is sick! Just a few days ago, I ran into OAuth as I want to get my GMail feed based on Google Data API . I succeeded. With a little help of an OAuth open source ( here , available in several programming languages). Then I remember that I once heard that Twitter also uses OAuth as an authentication option so I turned into Twitter and had a good read. Finally, I found out that they are basically the same (hehe, it's obvious since OAuth 1.0 is a worldwide standard). I had an idea of writing a universal class which can handle both Google and Twitter OAuth functionalities. It's not too hard. I took most of the idea from the PHP example ( here , PHP only). I also made a small script which accepts URI to send and intercept response from Google & Twitter servers. At that moment, I was so excited with all the ideas but actually it has no real world benefit so I just left it there... Until today, in the F8 (says "fate") conference of Facebook, I was stunned fin...
10 comments
Read more