Phát hiện nhiều dòng laptop của HP có tích hợp Keylogger

08:57 | 30/05/2017 | HACKER / MALWARE

Các nhà nghiên cứu từ hãng bảo mật Modzero (Thụy Sỹ) đã phát hiện một keylogger tích hợp trong trình điều khiển âm thanh của laptop HP, có khả năng theo dõi thao tác bàn phím của người dùng.

Phát hiện nhiều dòng laptop của HP có tích hợp Keylogger

Các chip âm thanh của máy tính HP được sản xuất bởi hãng Conexant, một nhà sản xuất mạch tích hợp, đồng thời là nhà phát triển trình điều khiển Dubbed Conexant High-Definition (HD) Audio Driver cho các chíp âm thanh này. Với một số dòng máy tính, HP nhúng thêm một đoạn mã lệnh trong trình điều khiển âm thanh của Conexant để kiểm soát các phím đặc biệt, chẳng hạn như phím Media.

Keylogger được phát hiện không phải là một cuộc tấn công có chủ đích mà theo các nhà nghiên cứu, do đoạn mã của HP bị lỗi, nên trong quá trình thực hiện, nó không chỉ chặn các phím đặc biệt mà còn ghi lại hoạt động của tất cả các phím và lưu trong tệp tin dưới dạng rõ. Lỗi này được định danh là CVE-2017-8360. Tệp tin lưu các thao tác phím mà người dùng thao tác nằm tại thư mục C:\Users\Public\MicTray.log, có thể truy cập bởi bất kỳ người dùng hay ứng dụng nào được cài đặt trong máy tính. Vì thế, nếu mã độc lây nhiễm vào máy tính hoặc một người có quyền truy cập sẽ khai thác được những thông tin nhạy cảm như tài khoản ngân hàng, mật khẩu, lịch sử trò chuyện và mã nguồn (nếu chủ nhân của máy tính là lập trình viên).

Năm 2015, tính năng lưu lại các thao tác phím này hoạt động từ bản cập nhật 1.0.0.46 cho các trình điều khiển âm thanh HP và tồn tại trong gần 30 loại máy tính khác nhau của HP. Các dòng máy bị ảnh hưởng bao gồm dòng HP Elitebook 800, EliteBook Folio G1, các dòng HP ProBook 600 và 400....

Các nhà nghiên cứu cảnh báo rằng các nhà sản xuất khác dùng thiết bị và trình điều khiển của Conexant cũng có thể bị ảnh hưởng.

Cách kiểm tra và ngăn chặn

Một trong hai tệp tin sau kiểm tra máy tính nếu tồn tại thì rất có thể người dùng đang bị cài keylogger:

- C:\Windows\System32\MicTray64.exe

- C:\Windows\System32\MicTray.exe

Công ty Modzero khuyến cáo người dùng nên đổi tên, hay xoá các tệp trên để ngăn trình điều khiển âm thanh theo dõi và ghi lại mọi thao tác phím. Tuy tệp tin log được ghi đè sau mỗi lần đăng nhập nhưng nội dung của nó có thể bị theo dõi một cách dễ dàng bởi các tiến trình trong máy tính hay các công cụ điều tra số. Nếu người dùng sao lưu đĩa cứng theo kích thước tăng thêm (incremental) – dù lưu lên mây hay lưu vào đĩa cứng gắn ngoài - thì lịch sử tất cả các phím họ từng thao tác trong vài năm đều được lưu lại.

‹ › ×

Tin liên quan

Hơn 400 website nổi tiếng ghi lại mọi phím bấm của người dùng

10:00 | 12/12/2017

Việc các website theo dõi người dùng đã được biết tới từ lâu. Phần lớn các website ghi nhận mọi hành vi trực tuyến của người dùng, nhưng nghiên cứu gần đây của trường Đại học Princeton còn cho thấy hàng trăm website đang ghi lại mọi thao tác của người dùng, kể cả các tìm kiếm, hành vi cuộn màn hình và tất cả những gì họ gõ trên bàn phím.

Lỗ hổng máy in HP OfficeJet bị khai thác thông qua công cụ EternalBlue

08:00 | 06/09/2018

Mới đây, các nhà nghiên cứu của hãng Bảo mật mạng CheckPoint đã phát hiện ra lỗ hổng nghiêm trọng trong hàng triệu máy in văn phòng HP OfficeJet, cho phép kẻ tấn công chiếm quyền kiểm soát các máy in và sử dụng chúng như một công cụ để tấn công vào hệ thống mạng mà chúng đang kết nối.

Tin cùng chuyên mục

Tin tặc Mustang Panda nhắm mục tiêu vào các quốc gia châu Á với biến thể mới của PlugX

09:00 | 06/03/2024

Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.

Giải mã biến thể mới của phần mềm độc hại Bandook

09:00 | 29/01/2024

Các nhà nghiên cứu đến từ hãng bảo mật Fortinet (Mỹ) phát hiện một biến thể mới của Trojan truy cập từ xa có tên Bandook đang được phân phối thông qua các cuộc tấn công lừa đảo nhằm mục đích xâm nhập vào các máy tính Windows. Bài viết sẽ phân tích hành vi của Bandook, cung cấp thông tin chi tiết về các thành phần được sửa đổi trong biến thể mới và giải mã một số ví dụ về cơ chế giao tiếp máy chủ ra lệnh và điều khiển (C2) của phần mềm độc hại này.

Lỗ hổng mới trên chip Qualcomm cho phép tin tặc tấn công từ xa bằng cuộc gọi thoại

07:00 | 15/01/2024

Công ty bán dẫn toàn cầu Qualcomm của Mỹ tiết lộ một lỗ hổng nghiêm trọng mới cho phép các tác nhân đe dọa thực hiện tấn công từ xa thông qua các cuộc gọi thoại qua mạng LTE.

Hãng viễn thông lớn nhất Ukraine bị tấn công mạng

15:00 | 18/12/2023

Ngày 12/12, Kyivstar - nhà mạng lớn nhất Ukraine hứng chịu một cuộc tấn công mạng lớn, khiến hàng triệu người dùng mất kết nối di động và Internet. Đáng chú ý sự cố gây ảnh hưởng đến hệ thống cảnh báo không kích của nước này.