Danh sách 7 công cụ trên Chrome đang hack mật khẩu của bạn

Các chuyên gia bảo mật đã phát hiện một chiến dịch lây lan mã độc nhắm vào người dùng internet chủ yếu trên nền tảng mạng xã hội phổ biến như Facebook. Trong đó được biết có 7 công cụ tiện ích mở rộng trên trình duyệt web Chrome bị ảnh hưởng bởi mã độc và đánh cắp mật khẩu người dùng, gửi về máy chủ của hacker.

Phương thức tấn công quen thuộc của chiến dịch lây lan mã độc nói trên là thu hút và lừa người dùng truy cập vào những trang web nhái các nền tảng phổ biến qua các tiện ích mở rộng trên Chrome rồi lây nhiễm phần mềm độc hại. Được biết đã có 100.000 người dùng toàn cầu bị ảnh hưởng bởi chiến dịch lây nhiễm này.

Phần mềm độc hại này có tên là Nigelthorn, đang được lây lan nhanh chóng qua các đường link chia sẻ trên Facebook, tiêm nhiễm thiết bị của nạn nhân bằng các tiện ích mở rộng trên trình duyệt web. Thông qua đó cho phép kẻ tấn công lấy cắp thông tin đăng nhập mạng xã hội của nạn nhân, cài đặt các mã độc đào tiền ảo và thực hiện quảng cáo lừa đảo. Các bước tiêm nhiễm tuần tự như sau:

Bước 1:

Nigelthorn được lan truyền thông qua các đường link trên Facebook.  Khi nhấp vào những link này sẽ chuyển hướng nạn nhân đến trang YouTube giả mạo, yêu cầu họ tải xuống tiện ích mở rộng độc hại của Chrome để tiếp tục phát video.

Bước 2:

Sau khi cài đặt, phần mở rộng sẽ thực hiện một mã JavaScript độc hại khiến cho máy tính của nạn nhân trở thành một phần của một botnet.

Bước 3:

Thông tin bị đánh cắp sau đó sẽ được sử dụng để gửi các liên kết độc hại đến bạn bè của người bị nhiễm với mục đích phát tán các phần mở rộng độc hại tương tự. Nếu bất kỳ ai trong số những người bạn đó nhấp vào liên kết, toàn bộ quá trình lây nhiễm sẽ bắt đầu lại.

Những tác hại mà người dùng bị nhiễm mã độc có thể bị ảnh hưởng:

NigelThorn đồng thời tải xuống một công cụ khai thác tiền ảo dựa trên trình duyệt công khai như một plugin để kích hoạt các hệ thống bị nhiễm bắt đầu khai thác tiền ảo bao gồm Monero, Bytecoin hoặc Electroneum. Nigelthorn cũng hoạt động liên tục để ngăn người dùng xóa các phần mở rộng độc hại, nó tự động đóng tab mở rộng độc hại mỗi khi người dùng mở chúng để ngăn chặn việc loại bỏ.

Các chuyên gia bảo mật cũng phát hiện ra một phần mềm độc hại thực hiện những hành vi tấn công tương tự vào năm ngoái là Digimine, nhắm vào người dùng Facebook Messenger và cài đặt phần mở rộng độc hại, qua đó cho phép kẻ tấn công truy cập vào hồ sơ Facebook của nạn nhân và lây lan cùng một phần mềm độc hại đến danh sách bạn bè của họ qua Messenger. Gần đây, có malware mang tên FacexWorm cũng đang thực hiện cùng cách thức trên để lây lan mã độc. Các phần mề độc hại này còn thực hiện gợi ý hàng loạt các công cụ dọn dẹp khác có nhái Facebook và Google cung cấp, ngăn người dùng thực hiện chỉnh sửa, xóa bài đăng hay bình luận trên tài khoản của họ.

Dưới đây là tên của tất cả bảy tiện ích mở rộng giả mạo như là tiện ích mở rộng hợp pháp:

- Nigelify

- PwnerLike

- Alt-j

- Fix-case

- Divinity 2 Original Sin: Wiki Skill Popup

- Keeprivate

- iHabno

Khuyến cáo từ các chuyên gia bảo mật nhằm đảm bảo an toàn cho bạn:

Mặc dù Google đã xóa tất cả các tiện ích mở rộng được liệt kê ở trên, nếu bạn đã cài đặt bất kỳ tiện ích mở rộng nào, bạn nên gỡ cài đặt ngay lập tức và thay đổi mật khẩu cho Facebook, Instagram cũng như cho các tài khoản khác mà bạn đang sử dụng cùng thông tin đăng nhập.

Nên thận trọng khi nhấp vào liên kết và tệp được cung cấp qua nền tảng trang web mạng xã hội.

XD