Mã độc trong tiện ích mở rộng của Google Chrome có khả năng đánh cắp dữ liệu
Tiện tích mở rộng trên Chrome có khả năng đánh cắp dữ liệu
Renato Marinho đã phát hiện ra tiện ích mở rộng độc hại Catch-All trên Chrome lây nhiễm mã độc tới người dùng thông qua thư điện tử lừa đảo. Những bức thư điện tử này có chứa đường dẫn tới các bức ảnh (được cho là gửi từ ứng dụng WhatsApp). Tuy nhiên, thay vì được đưa đến ảnh, nạn nhân sẽ tự động tải xuống một tệp tin dropper độc hại có tên là "whatsapp.exe".
Sau khi mã độc trong tệp tin dropper được thực thi, một màn hình cài đặt Adobe PDF Reader giả mạo hiện lên. Nếu nạn nhân chọn "Cài đặt", họ sẽ tải xuống tệp .cab bao gồm hai tệp tin thực thi: md0.exe và md1.exe.
Trước khi tiện ích mở rộng độc hại được cài đặt, tệp tin thực thi md0 sẽ cố vô hiệu hóa Windows Firewall, triệt tiêu tất cả các tiến trình xử lý (process) của Google Chrome và vô hiệu hóa một số tính năng bảo mật có thể ngăn không cho tiện ích mở rộng thực thi hành vi độc hại (ví dụ như SafeBrowsing có khả năng bảo vệ an toàn cho các tệp tin tải về).
Sau đó, tiện ích mở rộng độc hại Catch-All sẽ thay đổi các tập tin launcher (là một phần mềm ứng dụng Android để thay đổi giao diện thiết kế mặc định ban đầu của thiết bị) “.lnk” của Google Chrome, khiến cho trình duyệt sẽ thực thi tiện ích độc hại này vào lần khởi động tiếp theo. Tiện ích ghi lại dữ liệu do nạn nhân đăng lên các trang web và gửi những dữ liệu này tới máy chủ C&C của tin tặc bằng các kết nối ajax jQuery.
Mối đe dọa từ các tiện ích mở rộng độc hại
Mục đích chính của các tiện ích mở rộng độc hại chủ yếu là đưa nội dung rác và quảng cáo tới người dùng. Ngoài ra, chúng còn chèn thêm hỗ trợ công nghệ giả mạo, mã độc, hoặc đánh cắp thông tin đăng nhập ngân hàng trực tuyến.
Catch-All ghi lại tất cả các dữ liệu mà nạn nhân đưa lên bất kỳ trang web nào, trong đó bao gồm thông tin đăng nhập cho tất cả các loại hình dịch vụ trực tuyến. Renato Marinho nhấn mạnh rằng, điều này cho phép tin tặc có thể dễ dàng đánh cắp được những dữ liệu rất nhạy cảm, bí mật.
Theo ông, kẻ tấn công không cần thiết phải lừa nạn nhân vào một trang web giả mạo hoặc sử dụng proxy cục bộ để chặn kết nối mạng. Ngược lại, người dùng vẫn có thể truy cập vào các trang web gốc và hợp pháp, mọi tương tác đều hợp lệ, nhưng dữ liệu lại bị ghi lại và đánh cắp. Nói cách khác, phương pháp này có thể phá vỡ nhiều lớp an toàn mạng mà người dùng đã thiết lập.
(theo helpnetsecurity.com)
