Tiện tích mở rộng trên Chrome có khả năng đánh cắp dữ liệu
Renato Marinho đã phát hiện ra tiện ích mở rộng độc hại Catch-All trên Chrome lây nhiễm mã độc tới người dùng thông qua thư điện tử lừa đảo. Những bức thư điện tử này có chứa đường dẫn tới các bức ảnh (được cho là gửi từ ứng dụng WhatsApp). Tuy nhiên, thay vì được đưa đến ảnh, nạn nhân sẽ tự động tải xuống một tệp tin dropper độc hại có tên là "whatsapp.exe".
Sau khi mã độc trong tệp tin dropper được thực thi, một màn hình cài đặt Adobe PDF Reader giả mạo hiện lên. Nếu nạn nhân chọn "Cài đặt", họ sẽ tải xuống tệp .cab bao gồm hai tệp tin thực thi: md0.exe và md1.exe.
Trước khi tiện ích mở rộng độc hại được cài đặt, tệp tin thực thi md0 sẽ cố vô hiệu hóa Windows Firewall, triệt tiêu tất cả các tiến trình xử lý (process) của Google Chrome và vô hiệu hóa một số tính năng bảo mật có thể ngăn không cho tiện ích mở rộng thực thi hành vi độc hại (ví dụ như SafeBrowsing có khả năng bảo vệ an toàn cho các tệp tin tải về).
Sau đó, tiện ích mở rộng độc hại Catch-All sẽ thay đổi các tập tin launcher (là một phần mềm ứng dụng Android để thay đổi giao diện thiết kế mặc định ban đầu của thiết bị) “.lnk” của Google Chrome, khiến cho trình duyệt sẽ thực thi tiện ích độc hại này vào lần khởi động tiếp theo. Tiện ích ghi lại dữ liệu do nạn nhân đăng lên các trang web và gửi những dữ liệu này tới máy chủ C&C của tin tặc bằng các kết nối ajax jQuery.
Mối đe dọa từ các tiện ích mở rộng độc hại
Mục đích chính của các tiện ích mở rộng độc hại chủ yếu là đưa nội dung rác và quảng cáo tới người dùng. Ngoài ra, chúng còn chèn thêm hỗ trợ công nghệ giả mạo, mã độc, hoặc đánh cắp thông tin đăng nhập ngân hàng trực tuyến.
Catch-All ghi lại tất cả các dữ liệu mà nạn nhân đưa lên bất kỳ trang web nào, trong đó bao gồm thông tin đăng nhập cho tất cả các loại hình dịch vụ trực tuyến. Renato Marinho nhấn mạnh rằng, điều này cho phép tin tặc có thể dễ dàng đánh cắp được những dữ liệu rất nhạy cảm, bí mật.
Theo ông, kẻ tấn công không cần thiết phải lừa nạn nhân vào một trang web giả mạo hoặc sử dụng proxy cục bộ để chặn kết nối mạng. Ngược lại, người dùng vẫn có thể truy cập vào các trang web gốc và hợp pháp, mọi tương tác đều hợp lệ, nhưng dữ liệu lại bị ghi lại và đánh cắp. Nói cách khác, phương pháp này có thể phá vỡ nhiều lớp an toàn mạng mà người dùng đã thiết lập.
(theo helpnetsecurity.com)
09:00 | 05/06/2018
14:00 | 12/01/2018
14:00 | 12/01/2018
09:00 | 02/03/2018
08:00 | 22/06/2020
14:00 | 21/11/2019
07:00 | 06/07/2018
11:00 | 22/08/2020
08:00 | 17/04/2024
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
13:00 | 05/04/2024
Trong một động thái mới nhất, AT&T cuối cùng đã xác nhận rằng họ bị ảnh hưởng bởi một vụ vi phạm dữ liệu ảnh hưởng đến 73 triệu khách hàng.
09:00 | 08/03/2024
Thông tin chi tiết về một lỗ hổng có độ nghiêm trọng mức cao trong ứng dụng Shortcut của Apple đã được công bố, trong đó lỗ hổng có thể cho phép một Shortcut truy cập thông tin nhạy cảm trên thiết bị mà không có sự đồng ý của người dùng.
08:00 | 04/12/2023
Microsoft cho biết tin tặc Triều Tiên đã xâm nhập vào một công ty phần mềm Đài Loan và lợi dụng hệ thống của công ty này để phát tán phần mềm độc hại đến các thiết bị ở Mỹ, Canada, Nhật Bản và Đài Loan trong một cuộc tấn công vào chuỗi cung ứng.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024