Mã độc trong tiện ích mở rộng Desbloquear Conteudo được xác định là trojan HEUR:Trojan-Banker.Script.Generic, hiện đã bị xóa khỏi Cửa hàng Chrome trực tuyến.
Theo nhà nghiên cứu Vyacheslav Bogdanov của Kaspersky Lab, đây là tiện ích mở rộng dành cho người dùng Chrome, với mục tiêu nhắm vào người dùng dịch vụ ngân hàng trực tuyến của Brazil. Tiện ích độc hại này giúp tin tặc có thể thu thập thông tin đăng nhập và mật khẩu nhằm lấy cắp tiền từ tài khoản của người dùng.
Mã độc Desbloquear Conteudo sử dụng phương pháp tấn công người đứng giữa (man-in-the-middle - MitM) để chuyển hướng lưu lượng truy cập web của nạn nhân đến một trang web giả mạo. Trong khi nạn nhân vẫn nghĩ rằng mình đang được được kết nối với trang web hợp pháp, thì luồng lưu lượng truy cập đến và đi từ trang web ngân hàng hợp pháp đã được chuyển hướng qua trang web của kẻ tấn công để chúng có thể thu thập dữ liệu cá nhân của nạn nhân đang bị theo dõi.
Điều đặc biệt về tiện ích mở rộng này là kẻ tấn công không cố gắng che giấu mã nguồn. Thay vào đó, chúng chọn cách tấn công MitM bằng cách sử dụng giao thức WebSocket để trao đổi dữ liệu, cho phép trao đổi tin nhắn với máy chủ C&C theo thời gian thực. Điều này có nghĩa là khi nạn nhân truy cập trang web của ngân hàng Brazil, máy chủ C&C bắt đầu hoạt động như một máy chủ proxy mà tiện ích độc hại chuyển hướng lưu lượng truy cập tới.
Tiện ích độc hại này sử dụng công nghệ proxy cấu hình tự động, cho phép kích hoạt các chức năng bổ sung khác ngoài chức năng FindProxyForUrl được viết bằng JavaScript trên hầu hết các trình duyệt hiện nay. Chức năng FindProxyForUrl được thay thế bằng một tác vụ mới, chuyển hướng lưu lượng truy cập từ ngân hàng Brazil đến máy chủ độc hại. Kẻ tấn công đã thêm mã độc vào trang web bằng tập lệnh cef.js để chặn bắt mật khẩu dùng một lần của người dùng.
Những tiện ích mở rộng trình duyệt độc hại với khả năng ăn cắp thông tin đăng nhập và mật khẩu là khá hiếm gặp so với những tiện ích mở rộng quảng cáo, nhưng người dùng cũng cần cảnh giác với những tiện ích độc hại này, vì những thiệt hại mà chúng có thể gây ra. Người dùng nên chọn các tiện ích có số lượng cài đặt lớn và đánh giá tốt trong Cửa hàng Chrome trực tuyến hoặc các dịch vụ cửa hàng ứng dụng chính thức khác.
Nhật Minh
Theo InfoSecurity
09:00 | 05/06/2018
09:00 | 27/07/2018
09:00 | 23/07/2018
11:00 | 01/02/2021
14:00 | 26/03/2018
15:00 | 02/07/2019
08:00 | 14/11/2017
14:00 | 16/05/2023
10:00 | 22/04/2024
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
08:00 | 17/04/2024
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
12:00 | 12/04/2024
Mới đây, Cục An toàn thông tin khuyến nghị người dân cảnh giác với 7 hình thức lừa đảo trực tuyến phổ biến, gồm 5 hình thức trong nước và 2 hình thức có quy mô quốc tế.
13:00 | 28/03/2024
Một chiến dịch tấn công tinh vi được cho là do nhóm tin tặc APT của Trung Quốc có tên Earth Krahang thực hiện, chúng đã xâm nhập 70 tổ chức tại 23 quốc gia và nhắm mục tiêu vào ít nhất 116 tổ chức của 45 quốc gia khác trên thế giới.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024