Phát hiện nhiều dòng laptop của HP có tích hợp Keylogger

08:57 | 30/05/2017 | HACKER / MALWARE

Các nhà nghiên cứu từ hãng bảo mật Modzero (Thụy Sỹ) đã phát hiện một keylogger tích hợp trong trình điều khiển âm thanh của laptop HP, có khả năng theo dõi thao tác bàn phím của người dùng.

Phát hiện nhiều dòng laptop của HP có tích hợp Keylogger

Các chip âm thanh của máy tính HP được sản xuất bởi hãng Conexant, một nhà sản xuất mạch tích hợp, đồng thời là nhà phát triển trình điều khiển Dubbed Conexant High-Definition (HD) Audio Driver cho các chíp âm thanh này. Với một số dòng máy tính, HP nhúng thêm một đoạn mã lệnh trong trình điều khiển âm thanh của Conexant để kiểm soát các phím đặc biệt, chẳng hạn như phím Media.

Keylogger được phát hiện không phải là một cuộc tấn công có chủ đích mà theo các nhà nghiên cứu, do đoạn mã của HP bị lỗi, nên trong quá trình thực hiện, nó không chỉ chặn các phím đặc biệt mà còn ghi lại hoạt động của tất cả các phím và lưu trong tệp tin dưới dạng rõ. Lỗi này được định danh là CVE-2017-8360. Tệp tin lưu các thao tác phím mà người dùng thao tác nằm tại thư mục C:\Users\Public\MicTray.log, có thể truy cập bởi bất kỳ người dùng hay ứng dụng nào được cài đặt trong máy tính. Vì thế, nếu mã độc lây nhiễm vào máy tính hoặc một người có quyền truy cập sẽ khai thác được những thông tin nhạy cảm như tài khoản ngân hàng, mật khẩu, lịch sử trò chuyện và mã nguồn (nếu chủ nhân của máy tính là lập trình viên).

Năm 2015, tính năng lưu lại các thao tác phím này hoạt động từ bản cập nhật 1.0.0.46 cho các trình điều khiển âm thanh HP và tồn tại trong gần 30 loại máy tính khác nhau của HP. Các dòng máy bị ảnh hưởng bao gồm dòng HP Elitebook 800, EliteBook Folio G1, các dòng HP ProBook 600 và 400....

Các nhà nghiên cứu cảnh báo rằng các nhà sản xuất khác dùng thiết bị và trình điều khiển của Conexant cũng có thể bị ảnh hưởng.

Cách kiểm tra và ngăn chặn

Một trong hai tệp tin sau kiểm tra máy tính nếu tồn tại thì rất có thể người dùng đang bị cài keylogger:

- C:\Windows\System32\MicTray64.exe

- C:\Windows\System32\MicTray.exe

Công ty Modzero khuyến cáo người dùng nên đổi tên, hay xoá các tệp trên để ngăn trình điều khiển âm thanh theo dõi và ghi lại mọi thao tác phím. Tuy tệp tin log được ghi đè sau mỗi lần đăng nhập nhưng nội dung của nó có thể bị theo dõi một cách dễ dàng bởi các tiến trình trong máy tính hay các công cụ điều tra số. Nếu người dùng sao lưu đĩa cứng theo kích thước tăng thêm (incremental) – dù lưu lên mây hay lưu vào đĩa cứng gắn ngoài - thì lịch sử tất cả các phím họ từng thao tác trong vài năm đều được lưu lại.

‹ › ×

Tin liên quan

Hơn 400 website nổi tiếng ghi lại mọi phím bấm của người dùng

10:00 | 12/12/2017

Việc các website theo dõi người dùng đã được biết tới từ lâu. Phần lớn các website ghi nhận mọi hành vi trực tuyến của người dùng, nhưng nghiên cứu gần đây của trường Đại học Princeton còn cho thấy hàng trăm website đang ghi lại mọi thao tác của người dùng, kể cả các tìm kiếm, hành vi cuộn màn hình và tất cả những gì họ gõ trên bàn phím.

Lỗ hổng máy in HP OfficeJet bị khai thác thông qua công cụ EternalBlue

08:00 | 06/09/2018

Mới đây, các nhà nghiên cứu của hãng Bảo mật mạng CheckPoint đã phát hiện ra lỗ hổng nghiêm trọng trong hàng triệu máy in văn phòng HP OfficeJet, cho phép kẻ tấn công chiếm quyền kiểm soát các máy in và sử dụng chúng như một công cụ để tấn công vào hệ thống mạng mà chúng đang kết nối.

Tin cùng chuyên mục

Lỗ hổng CVE-2024-31497 trong PuTTY làm rò rỉ khóa riêng

10:00 | 08/05/2024

Mới đây, một lỗ hổng nghiêm trọng định danh CVE-2024-31497 được phát hiện trong PuTTY - ứng dụng client SSH phổ biến dành cho Windows làm rò rỉ khóa riêng.

Cảnh báo hai lỗ hổng zero-day trên các thiết bị của Cisco nhằm phát tán phần mềm độc hại

08:00 | 04/05/2024

Mới đây, Cisco cảnh báo rằng một nhóm tin tặc được nhà nước bảo trợ đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 để cài đặt phần mềm độc hại trên các hệ thống mạng viễn thông và năng lượng bị ảnh hưởng tại nhiều quốc gia.

Phần mềm độc hại WogRAT mới lợi dụng Notepad trực tuyến để lưu trữ và phân phối mã độc

08:00 | 12/03/2024

Mới đây, các nhà nghiên cứu từ Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) phát hiện phần mềm độc hại mới có tên WogRAT, đang được các tác nhân đe dọa triển khai trong các cuộc tấn công lạm dụng nền tảng Notepad trực tuyến có tên là aNotepad để bí mật lưu trữ và truy xuất mã độc trên cả Windows và Linux.

Dự đoán phần mềm tội phạm và các mối đe dọa tài chính vào năm 2024

09:00 | 28/02/2024

Đội ngũ chuyên gia an ninh mạng tại Kaspersky liên tục theo dõi sự phức tạp của các mối đe dọa đối với tổ chức tài chính, bao gồm cả ngân hàng và các mối đe dọa có động cơ tài chính như phần mềm tống tiền đang lan rộng đến nhiều ngành công nghiệp khác nhau. Trong bài viết này, các chuyên gia bảo mật Kaspersky sẽ đánh giá lại các dự đoán của họ trong năm 2023 và đưa ra những xu hướng dự kiến sẽ nổi lên trong năm 2024.