Gửi lúc: 06/07/2018 08:52:21
Bookmark and Share

Tiện tích mở rộng Chrome độc hại thu thập thông tin đăng nhập ngân hàng trực tuyến của người dùng

Sau khi nhận thấy một tiện ích mở rộng có tên Desbloquear Conteudo của trình duyệt Google Chrome trao đổi thông tin với một tên miền đáng ngờ, các nhà nghiên cứu của Kaspersky Lab đã phân tích tiện ích mở rộng này và phát hiện ra đây là một phần mềm độc hại tấn công ngân hàng hiếm gặp.

Mã độc trong tiện ích mở rộng Desbloquear Conteudo được xác định là trojan HEUR:Trojan-Banker.Script.Generic, hiện đã bị xóa khỏi Cửa hàng Chrome trực tuyến.  

Theo nhà nghiên cứu Vyacheslav Bogdanov của Kaspersky Lab, đây là tiện ích mở rộng dành cho người dùng Chrome, với mục tiêu nhắm vào người dùng dịch vụ ngân hàng trực tuyến của Brazil. Tiện ích độc hại này giúp tin tặc có thể thu thập thông tin đăng nhập và mật khẩu nhằm lấy cắp tiền từ tài khoản của người dùng.



Mã độc Desbloquear Conteudo sử dụng phương pháp tấn công người đứng giữa (man-in-the-middle - MitM) để chuyển hướng lưu lượng truy cập web của nạn nhân đến một trang web giả mạo. Trong khi nạn nhân vẫn nghĩ rằng mình đang được được kết nối với trang web hợp pháp, thì luồng lưu lượng truy cập đến và đi từ trang web ngân hàng hợp pháp đã được chuyển hướng qua trang web của kẻ tấn công để chúng có thể thu thập dữ liệu cá nhân của nạn nhân đang bị theo dõi.

Điều đặc biệt về tiện ích mở rộng này là kẻ tấn công không cố gắng che giấu mã nguồn. Thay vào đó, chúng chọn cách tấn công MitM bằng cách sử dụng giao thức WebSocket để trao đổi dữ liệu, cho phép trao đổi tin nhắn với máy chủ C&C theo thời gian thực. Điều này có nghĩa là khi nạn nhân truy cập trang web của ngân hàng Brazil, máy chủ C&C bắt đầu hoạt động như một máy chủ proxy mà tiện ích độc hại chuyển hướng lưu lượng truy cập tới. 

Tiện ích độc hại này sử dụng công nghệ proxy cấu hình tự động, cho phép kích hoạt các chức năng bổ sung khác ngoài chức năng FindProxyForUrl được viết bằng JavaScript trên hầu hết các trình duyệt hiện nay. Chức năng FindProxyForUrl được thay thế bằng một tác vụ mới, chuyển hướng lưu lượng truy cập từ ngân hàng Brazil đến máy chủ độc hại. Kẻ tấn công đã thêm mã độc vào trang web bằng tập lệnh cef.js để chặn bắt mật khẩu dùng một lần của người dùng.

Những tiện ích mở rộng trình duyệt độc hại với khả năng ăn cắp thông tin đăng nhập và mật khẩu là khá hiếm gặp so với những tiện ích mở rộng quảng cáo, nhưng người dùng cũng cần cảnh giác với những tiện ích độc hại này, vì những thiệt hại mà chúng có thể gây ra. Người dùng nên chọn các tiện ích có số lượng cài đặt lớn và đánh giá tốt trong Cửa hàng Chrome trực tuyến hoặc các dịch vụ cửa hàng ứng dụng chính thức khác. 

Nhật Minh (Theo InfoSecurity)