Phát hiện nhiều dòng laptop của HP có tích hợp Keylogger

08:57 | 30/05/2017 | HACKER / MALWARE

Các nhà nghiên cứu từ hãng bảo mật Modzero (Thụy Sỹ) đã phát hiện một keylogger tích hợp trong trình điều khiển âm thanh của laptop HP, có khả năng theo dõi thao tác bàn phím của người dùng.

Phát hiện nhiều dòng laptop của HP có tích hợp Keylogger

Các chip âm thanh của máy tính HP được sản xuất bởi hãng Conexant, một nhà sản xuất mạch tích hợp, đồng thời là nhà phát triển trình điều khiển Dubbed Conexant High-Definition (HD) Audio Driver cho các chíp âm thanh này. Với một số dòng máy tính, HP nhúng thêm một đoạn mã lệnh trong trình điều khiển âm thanh của Conexant để kiểm soát các phím đặc biệt, chẳng hạn như phím Media.

Keylogger được phát hiện không phải là một cuộc tấn công có chủ đích mà theo các nhà nghiên cứu, do đoạn mã của HP bị lỗi, nên trong quá trình thực hiện, nó không chỉ chặn các phím đặc biệt mà còn ghi lại hoạt động của tất cả các phím và lưu trong tệp tin dưới dạng rõ. Lỗi này được định danh là CVE-2017-8360. Tệp tin lưu các thao tác phím mà người dùng thao tác nằm tại thư mục C:\Users\Public\MicTray.log, có thể truy cập bởi bất kỳ người dùng hay ứng dụng nào được cài đặt trong máy tính. Vì thế, nếu mã độc lây nhiễm vào máy tính hoặc một người có quyền truy cập sẽ khai thác được những thông tin nhạy cảm như tài khoản ngân hàng, mật khẩu, lịch sử trò chuyện và mã nguồn (nếu chủ nhân của máy tính là lập trình viên).

Năm 2015, tính năng lưu lại các thao tác phím này hoạt động từ bản cập nhật 1.0.0.46 cho các trình điều khiển âm thanh HP và tồn tại trong gần 30 loại máy tính khác nhau của HP. Các dòng máy bị ảnh hưởng bao gồm dòng HP Elitebook 800, EliteBook Folio G1, các dòng HP ProBook 600 và 400....

Các nhà nghiên cứu cảnh báo rằng các nhà sản xuất khác dùng thiết bị và trình điều khiển của Conexant cũng có thể bị ảnh hưởng.

Cách kiểm tra và ngăn chặn

Một trong hai tệp tin sau kiểm tra máy tính nếu tồn tại thì rất có thể người dùng đang bị cài keylogger:

- C:\Windows\System32\MicTray64.exe

- C:\Windows\System32\MicTray.exe

Công ty Modzero khuyến cáo người dùng nên đổi tên, hay xoá các tệp trên để ngăn trình điều khiển âm thanh theo dõi và ghi lại mọi thao tác phím. Tuy tệp tin log được ghi đè sau mỗi lần đăng nhập nhưng nội dung của nó có thể bị theo dõi một cách dễ dàng bởi các tiến trình trong máy tính hay các công cụ điều tra số. Nếu người dùng sao lưu đĩa cứng theo kích thước tăng thêm (incremental) – dù lưu lên mây hay lưu vào đĩa cứng gắn ngoài - thì lịch sử tất cả các phím họ từng thao tác trong vài năm đều được lưu lại.

‹ › ×

Tin liên quan

Hơn 400 website nổi tiếng ghi lại mọi phím bấm của người dùng

10:00 | 12/12/2017

Việc các website theo dõi người dùng đã được biết tới từ lâu. Phần lớn các website ghi nhận mọi hành vi trực tuyến của người dùng, nhưng nghiên cứu gần đây của trường Đại học Princeton còn cho thấy hàng trăm website đang ghi lại mọi thao tác của người dùng, kể cả các tìm kiếm, hành vi cuộn màn hình và tất cả những gì họ gõ trên bàn phím.

Lỗ hổng máy in HP OfficeJet bị khai thác thông qua công cụ EternalBlue

08:00 | 06/09/2018

Mới đây, các nhà nghiên cứu của hãng Bảo mật mạng CheckPoint đã phát hiện ra lỗ hổng nghiêm trọng trong hàng triệu máy in văn phòng HP OfficeJet, cho phép kẻ tấn công chiếm quyền kiểm soát các máy in và sử dụng chúng như một công cụ để tấn công vào hệ thống mạng mà chúng đang kết nối.

Tin cùng chuyên mục

Tin tặc có thể sử dụng AI tạo sinh để thao túng các cuộc trò chuyện trực tiếp

09:00 | 09/04/2024

Các nhà nghiên cứu bảo mật của IBM đã chứng minh rằng tin tặc có thể sử dụng trí tuệ nhân tạo (AI) tạo sinh và công nghệ deepfake âm thanh để chiếm quyền điều khiển và thao túng các cuộc hội thoại trực tiếp.

Chính phủ Pháp bị tấn công mạng

16:00 | 15/03/2024

Ngày 11/3, Văn phòng Thủ tướng Pháp thông báo một số cơ quan nhà nước của Pháp đã bị tấn công mạng với cường độ chưa từng có đồng thời nhấn mạnh rằng chính phủ đã có thể hạn chế tác động từ vụ việc này.

Tin tặc lợi dụng khai thác MultiLogin của Google để chiếm quyền điều khiển phiên người dùng

10:00 | 31/01/2024

Các nhà nghiên cứu tại công ty an ninh mạng CloudSEK (Ấn Độ) cho biết: tin tặc đang phân phối phần mềm đánh cắp thông tin bằng cách lợi dụng điểm cuối Google OAuth có tên MultiLogin để chiếm quyền điều khiển phiên của người dùng và cho phép truy cập liên tục vào các dịch vụ của Google ngay cả sau khi đặt lại mật khẩu.

Tấn công lừa đảo qua email về tiền điện tử: Đánh cắp từ ví nóng và ví lạnh

09:00 | 10/01/2024

Song song với mức độ phổ biến toàn cầu của tiền điện tử và có nhiều cách thức lưu trữ mới thì các kho công cụ tấn công được sử dụng bởi những tác nhân đe dọa tiền kỹ thuật số cũng ngày càng được mở rộng. Bài viết này dựa trên báo cáo của Kaspersky đề cập đến các phương pháp tấn công email khác nhau được tội phạm mạng sử dụng trong các chiến dịch lừa đảo nhắm vào hai cách lưu trữ tiền điện tử phổ biến nhất: ví nóng và ví lạnh.