Phát hiện nhiều dòng laptop của HP có tích hợp Keylogger

08:57 | 30/05/2017 | HACKER / MALWARE

Các nhà nghiên cứu từ hãng bảo mật Modzero (Thụy Sỹ) đã phát hiện một keylogger tích hợp trong trình điều khiển âm thanh của laptop HP, có khả năng theo dõi thao tác bàn phím của người dùng.

Phát hiện nhiều dòng laptop của HP có tích hợp Keylogger

Các chip âm thanh của máy tính HP được sản xuất bởi hãng Conexant, một nhà sản xuất mạch tích hợp, đồng thời là nhà phát triển trình điều khiển Dubbed Conexant High-Definition (HD) Audio Driver cho các chíp âm thanh này. Với một số dòng máy tính, HP nhúng thêm một đoạn mã lệnh trong trình điều khiển âm thanh của Conexant để kiểm soát các phím đặc biệt, chẳng hạn như phím Media.

Keylogger được phát hiện không phải là một cuộc tấn công có chủ đích mà theo các nhà nghiên cứu, do đoạn mã của HP bị lỗi, nên trong quá trình thực hiện, nó không chỉ chặn các phím đặc biệt mà còn ghi lại hoạt động của tất cả các phím và lưu trong tệp tin dưới dạng rõ. Lỗi này được định danh là CVE-2017-8360. Tệp tin lưu các thao tác phím mà người dùng thao tác nằm tại thư mục C:\Users\Public\MicTray.log, có thể truy cập bởi bất kỳ người dùng hay ứng dụng nào được cài đặt trong máy tính. Vì thế, nếu mã độc lây nhiễm vào máy tính hoặc một người có quyền truy cập sẽ khai thác được những thông tin nhạy cảm như tài khoản ngân hàng, mật khẩu, lịch sử trò chuyện và mã nguồn (nếu chủ nhân của máy tính là lập trình viên).

Năm 2015, tính năng lưu lại các thao tác phím này hoạt động từ bản cập nhật 1.0.0.46 cho các trình điều khiển âm thanh HP và tồn tại trong gần 30 loại máy tính khác nhau của HP. Các dòng máy bị ảnh hưởng bao gồm dòng HP Elitebook 800, EliteBook Folio G1, các dòng HP ProBook 600 và 400....

Các nhà nghiên cứu cảnh báo rằng các nhà sản xuất khác dùng thiết bị và trình điều khiển của Conexant cũng có thể bị ảnh hưởng.

Cách kiểm tra và ngăn chặn

Một trong hai tệp tin sau kiểm tra máy tính nếu tồn tại thì rất có thể người dùng đang bị cài keylogger:

- C:\Windows\System32\MicTray64.exe

- C:\Windows\System32\MicTray.exe

Công ty Modzero khuyến cáo người dùng nên đổi tên, hay xoá các tệp trên để ngăn trình điều khiển âm thanh theo dõi và ghi lại mọi thao tác phím. Tuy tệp tin log được ghi đè sau mỗi lần đăng nhập nhưng nội dung của nó có thể bị theo dõi một cách dễ dàng bởi các tiến trình trong máy tính hay các công cụ điều tra số. Nếu người dùng sao lưu đĩa cứng theo kích thước tăng thêm (incremental) – dù lưu lên mây hay lưu vào đĩa cứng gắn ngoài - thì lịch sử tất cả các phím họ từng thao tác trong vài năm đều được lưu lại.

‹ › ×

Tin liên quan

Hơn 400 website nổi tiếng ghi lại mọi phím bấm của người dùng

10:00 | 12/12/2017

Việc các website theo dõi người dùng đã được biết tới từ lâu. Phần lớn các website ghi nhận mọi hành vi trực tuyến của người dùng, nhưng nghiên cứu gần đây của trường Đại học Princeton còn cho thấy hàng trăm website đang ghi lại mọi thao tác của người dùng, kể cả các tìm kiếm, hành vi cuộn màn hình và tất cả những gì họ gõ trên bàn phím.

Cách phát hiện và ngăn chặn các chương trình Keylogger

14:00 | 11/09/2024

Keylogger là phần cứng hoặc phần mềm có khả năng theo dõi tất cả các hoạt động thao tác nhập bàn phím, trong đó có các thông tin nhạy cảm như tên người dùng, mật khẩu thẻ tín dụng, thẻ ngân hàng, tài khoản mạng xã hội hay các thông tin cá nhân khác. Keylogger thậm chí có thể ghi lại các hành động gõ phím từ bàn phím ảo, bao gồm các phím số và ký tự đặc biệt. Bài báo sẽ hướng dẫn độc giả cách thức phát hiện và một số biện pháp kiểm tra, ngăn chặn các chương trình Keylogger nhằm bảo vệ máy tính trước mối đe dọa nguy hiểm này.

Lỗ hổng máy in HP OfficeJet bị khai thác thông qua công cụ EternalBlue

08:00 | 06/09/2018

Mới đây, các nhà nghiên cứu của hãng Bảo mật mạng CheckPoint đã phát hiện ra lỗ hổng nghiêm trọng trong hàng triệu máy in văn phòng HP OfficeJet, cho phép kẻ tấn công chiếm quyền kiểm soát các máy in và sử dụng chúng như một công cụ để tấn công vào hệ thống mạng mà chúng đang kết nối.

Tấn công APT ẩn mã đã trở lại Đông Nam Á

14:00 | 19/08/2019

Trong thời gian vừa qua, các hãng truyền thông đồng loạt đưa tin về nhóm tấn công APT có tên Platinum. Từ tháng 6/2018, nhóm chuyên gia của Kaspersky đã phát hiện ra các mẫu mã độc sử dụng kỹ thuật ẩn mã, lan rộng khắp Nam Á và Đông Nam Á, nhắm vào các tổ chức, cơ quan ngoại giao, chính phủ và quân đội. Bài viết sẽ giới thiệu một số nội dung của chiến dịch tấn công APT này.

Tin cùng chuyên mục

Lỗ hổng trong Bypass SAML cho phép kẻ tấn công bỏ qua cơ chế xác thực

08:00 | 19/02/2025

Một lỗ hổng bảo mật trong Bypass SAML trên GitHub Enterpris định danh CVE-2025-23369 có điểm CVSS là 7,6 vừa được công bố, cho phép kẻ tấn công bỏ qua cơ chế xác thực SAML trên GitHub Enterprise.

Cảnh báo chiêu trò lừa đảo qua ứng dụng Signal

09:00 | 23/01/2025

Mới đây, các chuyên gia an ninh mạng đã phát đi cảnh báo liên quan đến chiến dịch lừa đảo trên nền tảng nhắn tin, gọi điện miễn phí và được mã hóa 2 chiều Signal.

Tổng quan về tấn công ReDoS: Mối đe dọa và giải pháp phòng ngừa

13:00 | 06/01/2025

Trong thời đại công nghệ phát triển nhanh chóng hiện nay, việc bảo vệ ứng dụng web và dịch vụ mạng trước các mối đe dọa đang trở nên ngày càng quan trọng. Một trong những mối đe dọa phổ biến nhất mà các nhà phát triển và quản trị viên hệ thống phải đối mặt là kỹ thuật tấn công từ chối dịch vụ biểu thức chính quy (Regular Expression Denial of Service - ReDoS). ReDoS là một loại tấn công mạng có thể làm cho các ứng dụng web và dịch vụ mạng trở nên không khả dụng hoặc rất chậm bằng cách tận dụng các biểu thức chính quy phức tạp. Bài viết sẽ giới thiệu tới độc giả kỹ thuật ReDoS, đưa ra giải pháp phát hiện và ngăn chặn trên các ứng dụng Web và dịch vụ mạng.

Tiện ích mở rộng Chrome bị xâm phạm chèn mã độc hại

13:00 | 03/01/2025

Ít nhất 5 tiện ích mở rộng của Chrome đã bị xâm phạm trong một cuộc tấn công mạng tinh vi, trong đó kẻ tấn công đã chèn mã đánh cắp thông tin nhạy cảm của người dùng.