Mã độc trong tiện ích mở rộng Desbloquear Conteudo được xác định là trojan HEUR:Trojan-Banker.Script.Generic, hiện đã bị xóa khỏi Cửa hàng Chrome trực tuyến.
Theo nhà nghiên cứu Vyacheslav Bogdanov của Kaspersky Lab, đây là tiện ích mở rộng dành cho người dùng Chrome, với mục tiêu nhắm vào người dùng dịch vụ ngân hàng trực tuyến của Brazil. Tiện ích độc hại này giúp tin tặc có thể thu thập thông tin đăng nhập và mật khẩu nhằm lấy cắp tiền từ tài khoản của người dùng.
Mã độc Desbloquear Conteudo sử dụng phương pháp tấn công người đứng giữa (man-in-the-middle - MitM) để chuyển hướng lưu lượng truy cập web của nạn nhân đến một trang web giả mạo. Trong khi nạn nhân vẫn nghĩ rằng mình đang được được kết nối với trang web hợp pháp, thì luồng lưu lượng truy cập đến và đi từ trang web ngân hàng hợp pháp đã được chuyển hướng qua trang web của kẻ tấn công để chúng có thể thu thập dữ liệu cá nhân của nạn nhân đang bị theo dõi.
Điều đặc biệt về tiện ích mở rộng này là kẻ tấn công không cố gắng che giấu mã nguồn. Thay vào đó, chúng chọn cách tấn công MitM bằng cách sử dụng giao thức WebSocket để trao đổi dữ liệu, cho phép trao đổi tin nhắn với máy chủ C&C theo thời gian thực. Điều này có nghĩa là khi nạn nhân truy cập trang web của ngân hàng Brazil, máy chủ C&C bắt đầu hoạt động như một máy chủ proxy mà tiện ích độc hại chuyển hướng lưu lượng truy cập tới.
Tiện ích độc hại này sử dụng công nghệ proxy cấu hình tự động, cho phép kích hoạt các chức năng bổ sung khác ngoài chức năng FindProxyForUrl được viết bằng JavaScript trên hầu hết các trình duyệt hiện nay. Chức năng FindProxyForUrl được thay thế bằng một tác vụ mới, chuyển hướng lưu lượng truy cập từ ngân hàng Brazil đến máy chủ độc hại. Kẻ tấn công đã thêm mã độc vào trang web bằng tập lệnh cef.js để chặn bắt mật khẩu dùng một lần của người dùng.
Những tiện ích mở rộng trình duyệt độc hại với khả năng ăn cắp thông tin đăng nhập và mật khẩu là khá hiếm gặp so với những tiện ích mở rộng quảng cáo, nhưng người dùng cũng cần cảnh giác với những tiện ích độc hại này, vì những thiệt hại mà chúng có thể gây ra. Người dùng nên chọn các tiện ích có số lượng cài đặt lớn và đánh giá tốt trong Cửa hàng Chrome trực tuyến hoặc các dịch vụ cửa hàng ứng dụng chính thức khác.
Nhật Minh
Theo InfoSecurity
09:00 | 05/06/2018
09:00 | 27/07/2018
09:00 | 23/07/2018
11:00 | 01/02/2021
14:00 | 26/03/2018
15:00 | 02/07/2019
08:00 | 14/11/2017
14:00 | 16/05/2023
07:00 | 08/04/2024
Tháng 01/2024, nhóm nghiên cứu Zero Day Initiative (ZDI) của hãng bảo mật Trend Micro phát hiện chiến dịch phân phối phần mềm độc hại DarkGate. Các tác nhân đe dọa đã khai thác lỗ hổng CVE-2024-21412 trong Windows Defender SmartScreen để vượt qua kiểm tra bảo mật (bypass) và tự động cài đặt phần mềm giả mạo.
10:00 | 28/03/2024
Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.
13:00 | 23/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet (ISP), nhà cung cấp dịch vụ công nghệ thông tin và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới do nhóm tin tặc có tên gọi là Sea Turtle thực hiện. Nhóm này hoạt động với động cơ chính trị nhằm thu thập thông tin tình báo phù hợp với những lợi ích của Thổ Nhĩ Kỳ. Bài viết này sẽ cùng phân tích về các hoạt động của nhóm tin tặc này và các kỹ thuật trong chiến dịch mới nhất, dựa trên báo cáo điều tra của công ty an ninh mạng Hunt&Hackett (Hà Lan).
07:00 | 17/01/2024
Tin tặc đang tăng cường nhắm mục tiêu vào các tài khoản trên mạng xã hội X (trước đây là Twitter) của chính phủ và doanh nghiệp. Đáng lưu ý, các tài khoản này đều được xác minh và gắn huy hiệu 'vàng' và 'xám', tin tặc lợi dụng nó để phát tán các trò lừa đảo tiền điện tử, trang web lừa đảo.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024