Tiện tích mở rộng trên Chrome có khả năng đánh cắp dữ liệu
Renato Marinho đã phát hiện ra tiện ích mở rộng độc hại Catch-All trên Chrome lây nhiễm mã độc tới người dùng thông qua thư điện tử lừa đảo. Những bức thư điện tử này có chứa đường dẫn tới các bức ảnh (được cho là gửi từ ứng dụng WhatsApp). Tuy nhiên, thay vì được đưa đến ảnh, nạn nhân sẽ tự động tải xuống một tệp tin dropper độc hại có tên là "whatsapp.exe".
Sau khi mã độc trong tệp tin dropper được thực thi, một màn hình cài đặt Adobe PDF Reader giả mạo hiện lên. Nếu nạn nhân chọn "Cài đặt", họ sẽ tải xuống tệp .cab bao gồm hai tệp tin thực thi: md0.exe và md1.exe.
Trước khi tiện ích mở rộng độc hại được cài đặt, tệp tin thực thi md0 sẽ cố vô hiệu hóa Windows Firewall, triệt tiêu tất cả các tiến trình xử lý (process) của Google Chrome và vô hiệu hóa một số tính năng bảo mật có thể ngăn không cho tiện ích mở rộng thực thi hành vi độc hại (ví dụ như SafeBrowsing có khả năng bảo vệ an toàn cho các tệp tin tải về).
Sau đó, tiện ích mở rộng độc hại Catch-All sẽ thay đổi các tập tin launcher (là một phần mềm ứng dụng Android để thay đổi giao diện thiết kế mặc định ban đầu của thiết bị) “.lnk” của Google Chrome, khiến cho trình duyệt sẽ thực thi tiện ích độc hại này vào lần khởi động tiếp theo. Tiện ích ghi lại dữ liệu do nạn nhân đăng lên các trang web và gửi những dữ liệu này tới máy chủ C&C của tin tặc bằng các kết nối ajax jQuery.
Mối đe dọa từ các tiện ích mở rộng độc hại
Mục đích chính của các tiện ích mở rộng độc hại chủ yếu là đưa nội dung rác và quảng cáo tới người dùng. Ngoài ra, chúng còn chèn thêm hỗ trợ công nghệ giả mạo, mã độc, hoặc đánh cắp thông tin đăng nhập ngân hàng trực tuyến.
Catch-All ghi lại tất cả các dữ liệu mà nạn nhân đưa lên bất kỳ trang web nào, trong đó bao gồm thông tin đăng nhập cho tất cả các loại hình dịch vụ trực tuyến. Renato Marinho nhấn mạnh rằng, điều này cho phép tin tặc có thể dễ dàng đánh cắp được những dữ liệu rất nhạy cảm, bí mật.
Theo ông, kẻ tấn công không cần thiết phải lừa nạn nhân vào một trang web giả mạo hoặc sử dụng proxy cục bộ để chặn kết nối mạng. Ngược lại, người dùng vẫn có thể truy cập vào các trang web gốc và hợp pháp, mọi tương tác đều hợp lệ, nhưng dữ liệu lại bị ghi lại và đánh cắp. Nói cách khác, phương pháp này có thể phá vỡ nhiều lớp an toàn mạng mà người dùng đã thiết lập.
(theo helpnetsecurity.com)
09:00 | 05/06/2018
14:00 | 12/01/2018
14:00 | 12/01/2018
09:00 | 02/03/2018
08:00 | 22/06/2020
14:00 | 21/11/2019
07:00 | 06/07/2018
11:00 | 22/08/2020
13:00 | 05/04/2024
Trong một động thái mới nhất, AT&T cuối cùng đã xác nhận rằng họ bị ảnh hưởng bởi một vụ vi phạm dữ liệu ảnh hưởng đến 73 triệu khách hàng.
10:00 | 31/01/2024
Các nhà nghiên cứu tại công ty an ninh mạng CloudSEK (Ấn Độ) cho biết: tin tặc đang phân phối phần mềm đánh cắp thông tin bằng cách lợi dụng điểm cuối Google OAuth có tên MultiLogin để chiếm quyền điều khiển phiên của người dùng và cho phép truy cập liên tục vào các dịch vụ của Google ngay cả sau khi đặt lại mật khẩu.
08:00 | 19/01/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Malwarebytes (Mỹ) đã xác định được phiên bản cập nhật của phần mềm đánh cắp thông tin trên macOS có tên là Atomic Stealer (hoặc AMOS), cho thấy các tác nhân đe dọa phát triển phần mềm độc hại này đang tích cực nâng cao khả năng của nó. Trong bài viết này sẽ xem xét những thay đổi mới nhất của Atomic Stealer và việc phân phối gần đây các quảng cáo độc hại thông qua công cụ tìm kiếm Google.
07:00 | 16/01/2024
Các nhà nghiên cứu an ninh mạng đã phát hiện một backdoor macOS mới có tên là SpectralBlur. Đặc biệt backdoor này có những điểm tương đồng với dòng phần mềm độc hại KandyKorn của các tin tặc Triều Tiên trong các chiến dịch tấn công mạng được xác định gần đây.
Mới đây, một lỗ hổng nghiêm trọng định danh CVE-2024-31497 được phát hiện trong PuTTY - ứng dụng client SSH phổ biến dành cho Windows làm rò rỉ khóa riêng.
10:00 | 08/05/2024