Tiện tích mở rộng Chrome độc hại thu thập thông tin đăng nhập ngân hàng trực tuyến của người dùng

07:00 | 06/07/2018 | HACKER / MALWARE

Sau khi nhận thấy một tiện ích mở rộng có tên Desbloquear Conteudo của trình duyệt Google Chrome trao đổi thông tin với một tên miền đáng ngờ, các nhà nghiên cứu của Kaspersky Lab đã phân tích tiện ích mở rộng này và phát hiện ra đây là một phần mềm độc hại tấn công ngân hàng hiếm gặp.

Mã độc trong tiện ích mở rộng Desbloquear Conteudo được xác định là trojan HEUR:Trojan-Banker.Script.Generic, hiện đã bị xóa khỏi Cửa hàng Chrome trực tuyến.

Theo nhà nghiên cứu Vyacheslav Bogdanov của Kaspersky Lab, đây là tiện ích mở rộng dành cho người dùng Chrome, với mục tiêu nhắm vào người dùng dịch vụ ngân hàng trực tuyến của Brazil. Tiện ích độc hại này giúp tin tặc có thể thu thập thông tin đăng nhập và mật khẩu nhằm lấy cắp tiền từ tài khoản của người dùng.

Tiện tích mở rộng Chrome độc hại thu thập thông tin đăng nhập ngân hàng trực tuyến của người dùng

Mã độc Desbloquear Conteudo sử dụng phương pháp tấn công người đứng giữa (man-in-the-middle - MitM) để chuyển hướng lưu lượng truy cập web của nạn nhân đến một trang web giả mạo. Trong khi nạn nhân vẫn nghĩ rằng mình đang được được kết nối với trang web hợp pháp, thì luồng lưu lượng truy cập đến và đi từ trang web ngân hàng hợp pháp đã được chuyển hướng qua trang web của kẻ tấn công để chúng có thể thu thập dữ liệu cá nhân của nạn nhân đang bị theo dõi.

Điều đặc biệt về tiện ích mở rộng này là kẻ tấn công không cố gắng che giấu mã nguồn. Thay vào đó, chúng chọn cách tấn công MitM bằng cách sử dụng giao thức WebSocket để trao đổi dữ liệu, cho phép trao đổi tin nhắn với máy chủ C&C theo thời gian thực. Điều này có nghĩa là khi nạn nhân truy cập trang web của ngân hàng Brazil, máy chủ C&C bắt đầu hoạt động như một máy chủ proxy mà tiện ích độc hại chuyển hướng lưu lượng truy cập tới.

Tiện ích độc hại này sử dụng công nghệ proxy cấu hình tự động, cho phép kích hoạt các chức năng bổ sung khác ngoài chức năng FindProxyForUrl được viết bằng JavaScript trên hầu hết các trình duyệt hiện nay. Chức năng FindProxyForUrl được thay thế bằng một tác vụ mới, chuyển hướng lưu lượng truy cập từ ngân hàng Brazil đến máy chủ độc hại. Kẻ tấn công đã thêm mã độc vào trang web bằng tập lệnh cef.js để chặn bắt mật khẩu dùng một lần của người dùng.

Những tiện ích mở rộng trình duyệt độc hại với khả năng ăn cắp thông tin đăng nhập và mật khẩu là khá hiếm gặp so với những tiện ích mở rộng quảng cáo, nhưng người dùng cũng cần cảnh giác với những tiện ích độc hại này, vì những thiệt hại mà chúng có thể gây ra. Người dùng nên chọn các tiện ích có số lượng cài đặt lớn và đánh giá tốt trong Cửa hàng Chrome trực tuyến hoặc các dịch vụ cửa hàng ứng dụng chính thức khác.

Nhật Minh

Theo InfoSecurity

‹ › ×

Tin liên quan

Cách quét mã độc trên máy tính với Google Chrome

09:00 | 05/06/2018

Với định hướng tập trung vào việc nâng cấp các tính năng bảo mật và phòng chống các phần mềm độc hại như malware, trojan, virus… tới nay, người dùng có thể sử dụng trình duyệt Chrome để quét mã độc trên toàn bộ máy tính.

Chrome bổ sung tính năng thông báo truy cập không an toàn từ website HTTP

09:00 | 27/07/2018

Mới đây, Google đã chính thức phát hành phiên bản Chrome mới, bổ sung tính năng thông báo cho người dùng khi truy cập những trang web không sử dụng giao thức bảo mật HTTPS.

Phương pháp phát hiện các tiến trình độc hại đang chạy trên hệ thống

09:00 | 23/07/2018

Bài báo giới thiệu về phương pháp phát hiện các tiến trình độc hại đang chạy trên hệ thống, giúp cho các cán bộ kỹ thuật nhanh chóng tìm và diệt mã độc.

Hàng triệu người dùng đã tải xuống 28 tiện ích độc hại trong Chrome và Edge

11:00 | 01/02/2021

Công ty bảo mật Avast (Cộng hòa Séc) cảnh báo, mã độc ẩn trong 28 tiện ích mở rộng của bên thứ ba dành cho các trình duyệt Google Chrome và Microsoft Edge có khả năng chuyển hướng người dùng đến quảng cáo hoặc trang web lừa đảo.

Lỗ hổng trên tiện ích mở rộng Chrome RDP cho phép tài khoản khách nhận phiên của người dùng khác

14:00 | 26/03/2018

Mới đây, các nhà phân tích an ninh của công ty an ninh mạng Check Point đã phát hiện ra một lỗi liên quan đến tiện ích mở rộng Chrome Remote Desktop (RDP) của Google.

Google Chrome đang trở thành phần mềm gián điệp nguy hiểm nhất

15:00 | 02/07/2019

Theo tờ Washington Post (Mỹ), trình duyệt Google Chrome đang thực hiện theo dõi người dùng và thu lợi nhuận từ việc này.

Mã độc trong tiện ích mở rộng của Google Chrome có khả năng đánh cắp dữ liệu

08:00 | 14/11/2017

Ngày 30/10/2017, Renato Marinho - Giám đốc nghiên cứu tại công ty an ninh mạng Morphus Labs (Mỹ), đã phát hiện ra một tiện ích mở rộng trên Google Chrome có tên là Catch-All chứa mã độc nguy hiểm.

Các bài đăng trên mạng xã hội giúp tin tặc thu thập thông tin để tấn công doanh nghiệp như thế nào?

14:00 | 16/05/2023

Stephanie “Snow” Carruthers, trưởng nhóm “tin tặc nhắm vào con người” tại IBM X-Force Red, cho thấy những bài đăng, chia sẻ tưởng chừng như vô hại của nhân viên có thể giúp tin tặc lấy được dữ liệu của doanh nghiệp. Bà nhắc nhở mọi người rằng hãy suy nghĩ kĩ trước khi chụp và đăng một bức ảnh tại văn phòng, một bức ảnh với thẻ #firstday, hay một bức ảnh nhóm tại nơi làm việc. Bởi vì tin tặc đang truy quét mạng xã hội để lấy ảnh, video và các manh mối khác có thể giúp chúng nhắm vào công ty của người dùng để tấn công.

Tin cùng chuyên mục

Phân tích chiến dịch khai thác lỗ hổng Windows SmartScreen để phân phối phần mềm độc hại DarkGate

07:00 | 08/04/2024

Tháng 01/2024, nhóm nghiên cứu Zero Day Initiative (ZDI) của hãng bảo mật Trend Micro phát hiện chiến dịch phân phối phần mềm độc hại DarkGate. Các tác nhân đe dọa đã khai thác lỗ hổng CVE-2024-21412 trong Windows Defender SmartScreen để vượt qua kiểm tra bảo mật (bypass) và tự động cài đặt phần mềm giả mạo.

Lỗ hổng trong thư viện Aiohttp bị tin tặc khai thác để tấn công mạng

10:00 | 28/03/2024

Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.

Phân tích chiến dịch gián điệp mạng Sea Turtle của tin tặc Thổ Nhĩ Kỳ

13:00 | 23/01/2024

Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet (ISP), nhà cung cấp dịch vụ công nghệ thông tin và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới do nhóm tin tặc có tên gọi là Sea Turtle thực hiện. Nhóm này hoạt động với động cơ chính trị nhằm thu thập thông tin tình báo phù hợp với những lợi ích của Thổ Nhĩ Kỳ. Bài viết này sẽ cùng phân tích về các hoạt động của nhóm tin tặc này và các kỹ thuật trong chiến dịch mới nhất, dựa trên báo cáo điều tra của công ty an ninh mạng Hunt&Hackett (Hà Lan).

Các tài khoản chính phủ và doanh nghiệp trên X bị tin tặc chiếm đoạt nhằm mục tiêu lừa đảo tiền điện tử

07:00 | 17/01/2024

Tin tặc đang tăng cường nhắm mục tiêu vào các tài khoản trên mạng xã hội X (trước đây là Twitter) của chính phủ và doanh nghiệp. Đáng lưu ý, các tài khoản này đều được xác minh và gắn huy hiệu 'vàng' và 'xám', tin tặc lợi dụng nó để phát tán các trò lừa đảo tiền điện tử, trang web lừa đảo.