Tiện tích mở rộng trên Chrome có khả năng đánh cắp dữ liệu
Renato Marinho đã phát hiện ra tiện ích mở rộng độc hại Catch-All trên Chrome lây nhiễm mã độc tới người dùng thông qua thư điện tử lừa đảo. Những bức thư điện tử này có chứa đường dẫn tới các bức ảnh (được cho là gửi từ ứng dụng WhatsApp). Tuy nhiên, thay vì được đưa đến ảnh, nạn nhân sẽ tự động tải xuống một tệp tin dropper độc hại có tên là "whatsapp.exe".
Sau khi mã độc trong tệp tin dropper được thực thi, một màn hình cài đặt Adobe PDF Reader giả mạo hiện lên. Nếu nạn nhân chọn "Cài đặt", họ sẽ tải xuống tệp .cab bao gồm hai tệp tin thực thi: md0.exe và md1.exe.
Trước khi tiện ích mở rộng độc hại được cài đặt, tệp tin thực thi md0 sẽ cố vô hiệu hóa Windows Firewall, triệt tiêu tất cả các tiến trình xử lý (process) của Google Chrome và vô hiệu hóa một số tính năng bảo mật có thể ngăn không cho tiện ích mở rộng thực thi hành vi độc hại (ví dụ như SafeBrowsing có khả năng bảo vệ an toàn cho các tệp tin tải về).
Sau đó, tiện ích mở rộng độc hại Catch-All sẽ thay đổi các tập tin launcher (là một phần mềm ứng dụng Android để thay đổi giao diện thiết kế mặc định ban đầu của thiết bị) “.lnk” của Google Chrome, khiến cho trình duyệt sẽ thực thi tiện ích độc hại này vào lần khởi động tiếp theo. Tiện ích ghi lại dữ liệu do nạn nhân đăng lên các trang web và gửi những dữ liệu này tới máy chủ C&C của tin tặc bằng các kết nối ajax jQuery.
Mối đe dọa từ các tiện ích mở rộng độc hại
Mục đích chính của các tiện ích mở rộng độc hại chủ yếu là đưa nội dung rác và quảng cáo tới người dùng. Ngoài ra, chúng còn chèn thêm hỗ trợ công nghệ giả mạo, mã độc, hoặc đánh cắp thông tin đăng nhập ngân hàng trực tuyến.
Catch-All ghi lại tất cả các dữ liệu mà nạn nhân đưa lên bất kỳ trang web nào, trong đó bao gồm thông tin đăng nhập cho tất cả các loại hình dịch vụ trực tuyến. Renato Marinho nhấn mạnh rằng, điều này cho phép tin tặc có thể dễ dàng đánh cắp được những dữ liệu rất nhạy cảm, bí mật.
Theo ông, kẻ tấn công không cần thiết phải lừa nạn nhân vào một trang web giả mạo hoặc sử dụng proxy cục bộ để chặn kết nối mạng. Ngược lại, người dùng vẫn có thể truy cập vào các trang web gốc và hợp pháp, mọi tương tác đều hợp lệ, nhưng dữ liệu lại bị ghi lại và đánh cắp. Nói cách khác, phương pháp này có thể phá vỡ nhiều lớp an toàn mạng mà người dùng đã thiết lập.
(theo helpnetsecurity.com)
09:00 | 05/06/2018
14:00 | 12/01/2018
14:00 | 12/01/2018
09:00 | 02/03/2018
08:00 | 22/06/2020
14:00 | 21/11/2019
07:00 | 06/07/2018
11:00 | 22/08/2020
10:00 | 21/11/2024
Tòa án liên bang Mỹ tại quận phía Bắc California đã bác vụ kiện cáo buộc Google thu lợi bất chính từ các vụ lừa đảo thẻ quà tặng Google Play.
08:00 | 01/11/2024
Báo cáo mới đây của hãng bảo mật Trend Micro (Mỹ) cho biết, nhóm gián điệp mạng OilRig có liên hệ với Iran đã tăng cường các hoạt động tấn công mạng nhằm vào các thực thể chính phủ của các nước khu vực Vùng Vịnh.
14:00 | 11/10/2024
Các nhà nghiên cứu bảo mật đến từ công ty an ninh mạng Forescout (Mỹ) đã phát hiện 14 lỗ hổng bảo mật được đánh giá nghiêm trọng trên bộ định tuyến DrayTek.
07:00 | 27/09/2024
Tổng cộng 6 triệu mã số định danh người nộp thuế Indonesia đã bị rò rỉ và rao bán công khai với giá 10.000 USD. Ngoài mã số định danh người nộp thuế, dữ liệu bị rò rỉ bao gồm mã số định danh quốc gia, email, địa chỉ, số điện thoại và thông tin cá nhân khác.
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
09:00 | 08/01/2025