7 tiện ích mở rộng của Chrome đang lấy cắp mặt khẩu người dùng

Thứ ba, 15/05/2018, 14:15 (GMT+7) 0 Phản hồi

(Không gian mạng) - Thu hút người dùng trên phương tiện truyền thông xã hội truy cập vào phiên bản giống như các trang web phổ biến mà xuất hiện như một cài đặt tiện ích mở rộng của Chrome, là một trong những hoạt động phổ biến nhất của bọn tội phạm mạng được sử dụng để lây lan phần mềm độc hại.

1-17

Các nhà nghiên cứu bảo mật một lần nữa cảnh báo người dùng về một chiến dịch phần mềm độc hại mới đã hoạt động từ tháng 3 năm nay và đã lây nhiễm hơn 100.000 người dùng trên toàn thế giới.

Được gọi là Nigelthorn, phần mềm độc hại đang lan truyền một cách nhanh chóng thông qua các liên kết trên Facebook và lây nhiễm hệ thống của nạn nhân bằng các tiện ích mở rộng trình duyệt độc hại. Thông qua đó cho phép kẻ tấn công lấy cắp thông tin đăng nhập mạng xã hội của nạn nhân, cài đặt các mã độc đào tiền ảo và thực hiện quảng cáo lừa đảo.

Phần mềm độc hại được lây lan qua ít nhất bảy tiện ích mở rộng khác nhau của trình duyệt Chrome — tất cả đều được lưu trữ trên Cửa hàng Chrome trực tuyến chính thức của Google.

Những phần mở rộng trình duyệt Chrome độc ​​hại này lần đầu tiên được phát hiện bởi các nhà nghiên cứu tại công ty bảo mật mạng Radware, sau khi một “mạng lưới được bảo vệ tốt” của một trong những khách hàng của công ty – một công ty sản xuất toàn cầu chưa được đặt tên, đã bị xâm phạm.

Trang Youtube giả mạo yêu cầu người dùng tải xuống tiện ích mở rộng độc hại của Chrome để tiếp tục phát video

Trang Youtube giả mạo yêu cầu người dùng tải xuống tiện ích mở rộng độc hại của Chrome để tiếp tục phát video

Theo một báo cáo được phát hành bởi Radware, những kẻ khai thác phần mềm độc hại đang sử dụng các bản sao của các tiện ích mở rộng hợp pháp của Google Chrome và chèn một tập lệnh độc hại ngắn vào chúng để bỏ qua các kiểm tra xác thực mở rộng của Google.

Các nhà nghiên cứu đã đặt tên phần mềm độc hại là “Nigelthorn” sau khi một trong những phần mở rộng độc hại là bản sao của phần mở rộng phổ biến ‘Nigelify’ được thiết kế để thay thế tất cả các hình ảnh trên một trang web với gifs của ‘Nigel Thornberry’.

Nigelthorn được lan truyền thông qua các liên kết trên Facebook

Nigelthorn đang lan truyền thông qua các liên kết trên Facebook. Những liên kết này nếu được nhấp vào sẽ chuyển hướng nạn nhân đến trang YouTube giả mạo, yêu cầu họ tải xuống tiện ích mở rộng độc hại của Chrome để tiếp tục phát video.

Sau khi cài đặt, phần mở rộng sẽ thực hiện một mã JavaScript độc hại khiến cho máy tính của nạn nhân trở thành một phần của một botnet.

Một phần mềm độc hại tương tự, được gọi là Digimine, nổi lên năm ngoái cũng đã làm việc bằng cách gửi các liên kết qua Facebook Messenger và cài đặt phần mở rộng độc hại, qua đó cho phép kẻ tấn công truy cập vào hồ sơ Facebook của nạn nhân và lây lan cùng một phần mềm độc hại đến danh sách bạn bè của họ qua Messenger.

Gần đây, chúng tôi đã viết về một chiến dịch phần mềm độc hại tương tự khác, được gọi là FacexWorm, cũng được phân phối bằng cách gửi các liên kết qua Facebook Messenger và chuyển hướng người dùng đến trang YouTube giả mạo, yêu cầu họ cài đặt tiện ích mở rộng độc hại của Chrome.

NigelThorn đánh cắp mật khẩu của tài khoản Facebook và Instagram

Phần mềm độc hại mới tập trung vào việc đánh cắp thông tin đăng nhập tài khoản Facebook và Instagram của nạn nhân và thu thập thông tin chi tiết từ tài khoản Facebook của họ.

Thông tin bị đánh cắp sau đó sẽ được sử dụng để gửi các liên kết độc hại đến bạn bè của người bị nhiễm với mục đích phát tán các phần mở rộng độc hại tương tự. Nếu bất kỳ ai trong số những người bạn đó nhấp vào liên kết, toàn bộ quá trình lây nhiễm sẽ bắt đầu lại.

NigelThorn cũng tải xuống một công cụ khai thác tiền ảo dựa trên trình duyệt công khai như một plugin để kích hoạt các hệ thống bị nhiễm bắt đầu khai thác tiền ảo bao gồm Monero, Bytecoin hoặc Electroneum.

Trong thời gian chỉ 6 ngày, những kẻ tấn công dường như tạo ra khoảng 1.000 đô la tiền ảo, chủ yếu là Monero.

Nigelthorn cũng hoạt động liên tục để ngăn người dùng xóa các phần mở rộng độc hại, nó tự động đóng tab mở rộng độc hại mỗi khi người dùng mở chúng để ngăn chặn việc loại bỏ.

Phần mềm độc hại cũng liệt kê một loạt các công cụ dọn dẹp được cung cấp bởi Facebook và Google; thậm chí ngăn người dùng thực hiện chỉnh sửa, xóa bài đăng và đưa ra nhận xét.

Danh sách tiện ích mở rộng độc hại của Chrome

1-16

Dưới đây là tên của tất cả bảy tiện ích mở rộng giả mạo như là tiện ích mở rộng hợp pháp:
– Nigelify
– PwnerLike
– Alt-j
– Fix-case
– Divinity 2 Original Sin: Wiki Skill Popup
– Keeprivate
– iHabno

Mặc dù Google đã xóa tất cả các tiện ích mở rộng được liệt kê ở trên, nếu bạn đã cài đặt bất kỳ tiện ích mở rộng nào, bạn nên gỡ cài đặt ngay lập tức và thay đổi mật khẩu cho Facebook, Instagram cũng như cho các tài khoản khác mà bạn đang sử dụng cùng thông tin đăng nhập.

Vì các chiến dịch Facebook Spam khá phổ biến, người dùng nên thận trọng khi nhấp vào liên kết và tệp được cung cấp qua nền tảng trang web mạng xã hội.

(Theo Securitydaily)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@lethanhhai.net
Xem thêm: Lê Thanh Hải
  • Share on Link Hay!
  • Facebook
  • Twitter

Ban Biên Tập

Đọc tin mới qua Email:

Mọi ý kiến đóng góp xin gửi về địa chỉ
banbientap@lethanhhai.net

Facebook Lê Thanh Hải

Mạng Xã Hội

Lê Thanh Hải
Lê Thanh Hải