Tiện tích mở rộng trên Chrome có khả năng đánh cắp dữ liệu
Renato Marinho đã phát hiện ra tiện ích mở rộng độc hại Catch-All trên Chrome lây nhiễm mã độc tới người dùng thông qua thư điện tử lừa đảo. Những bức thư điện tử này có chứa đường dẫn tới các bức ảnh (được cho là gửi từ ứng dụng WhatsApp). Tuy nhiên, thay vì được đưa đến ảnh, nạn nhân sẽ tự động tải xuống một tệp tin dropper độc hại có tên là "whatsapp.exe".
Sau khi mã độc trong tệp tin dropper được thực thi, một màn hình cài đặt Adobe PDF Reader giả mạo hiện lên. Nếu nạn nhân chọn "Cài đặt", họ sẽ tải xuống tệp .cab bao gồm hai tệp tin thực thi: md0.exe và md1.exe.
Trước khi tiện ích mở rộng độc hại được cài đặt, tệp tin thực thi md0 sẽ cố vô hiệu hóa Windows Firewall, triệt tiêu tất cả các tiến trình xử lý (process) của Google Chrome và vô hiệu hóa một số tính năng bảo mật có thể ngăn không cho tiện ích mở rộng thực thi hành vi độc hại (ví dụ như SafeBrowsing có khả năng bảo vệ an toàn cho các tệp tin tải về).
Sau đó, tiện ích mở rộng độc hại Catch-All sẽ thay đổi các tập tin launcher (là một phần mềm ứng dụng Android để thay đổi giao diện thiết kế mặc định ban đầu của thiết bị) “.lnk” của Google Chrome, khiến cho trình duyệt sẽ thực thi tiện ích độc hại này vào lần khởi động tiếp theo. Tiện ích ghi lại dữ liệu do nạn nhân đăng lên các trang web và gửi những dữ liệu này tới máy chủ C&C của tin tặc bằng các kết nối ajax jQuery.
Mối đe dọa từ các tiện ích mở rộng độc hại
Mục đích chính của các tiện ích mở rộng độc hại chủ yếu là đưa nội dung rác và quảng cáo tới người dùng. Ngoài ra, chúng còn chèn thêm hỗ trợ công nghệ giả mạo, mã độc, hoặc đánh cắp thông tin đăng nhập ngân hàng trực tuyến.
Catch-All ghi lại tất cả các dữ liệu mà nạn nhân đưa lên bất kỳ trang web nào, trong đó bao gồm thông tin đăng nhập cho tất cả các loại hình dịch vụ trực tuyến. Renato Marinho nhấn mạnh rằng, điều này cho phép tin tặc có thể dễ dàng đánh cắp được những dữ liệu rất nhạy cảm, bí mật.
Theo ông, kẻ tấn công không cần thiết phải lừa nạn nhân vào một trang web giả mạo hoặc sử dụng proxy cục bộ để chặn kết nối mạng. Ngược lại, người dùng vẫn có thể truy cập vào các trang web gốc và hợp pháp, mọi tương tác đều hợp lệ, nhưng dữ liệu lại bị ghi lại và đánh cắp. Nói cách khác, phương pháp này có thể phá vỡ nhiều lớp an toàn mạng mà người dùng đã thiết lập.
(theo helpnetsecurity.com)
09:00 | 05/06/2018
14:00 | 12/01/2018
14:00 | 12/01/2018
09:00 | 02/03/2018
08:00 | 22/06/2020
14:00 | 21/11/2019
07:00 | 06/07/2018
11:00 | 22/08/2020
14:00 | 25/04/2024
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
16:00 | 26/03/2024
Theo nhận định của các chuyên gia, Công ty chứng khoán VNDIRECT có thể đã bị tin tặc tấn công bằng hình thức mã độc tống tiền. Cho đến chiều 26/3, hệ thống của VNDIRECT và một số hệ thống liên quan vẫn trong trạng thái ngừng trệ hoạt động.
08:00 | 08/01/2024
Eagers Automotive - Tập đoàn bán lẻ ô tô hàng đầu ở Australia và New Zealand xác nhận một sự cố tấn công mạng, gây ảnh hưởng đến một số hệ thống công nghệ thông tin khiến tập đoàn này phải tạm dừng mọi hoạt động giao dịch để ngăn chặn rò rỉ thông tin vào ngày 28/12 vừa qua.
15:00 | 18/12/2023
Ngày 12/12, Kyivstar - nhà mạng lớn nhất Ukraine hứng chịu một cuộc tấn công mạng lớn, khiến hàng triệu người dùng mất kết nối di động và Internet. Đáng chú ý sự cố gây ảnh hưởng đến hệ thống cảnh báo không kích của nước này.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lợi dụng lỗ hổng CVE-2024-27956 (có điểm 9,9) trong plugin WP Automatic của WordPress, tin tặc có thể tấn công hơn 30.000 trang web bằng cách tạo tài khoản người dùng với đặc quyền quản trị và cài đặt backdoor để truy cập lâu dài.
10:00 | 13/05/2024
