Mã độc nguy hiểm lây lan qua trình duyệt phổ biến, nhắm vào cả máy Mac và Windows

www.tuoitre.vn -   25/05/2022 12:00:00 171

Trong tháng này, mã độc ChromeLoader đang phát triển mạnh về số lượng sau khi phá hoại với một quy mô ổn định kể từ đầu năm. Điều này khiến cho việc xâm nhập trình duyệt trở lành một mối đe dọa trên diện rộng.

Mã độc nguy hiểm lây lan qua trình duyệt phổ biến, nhắm vào cả máy Mac và Windows

ChromeLoader là loại mã độc xâm nhập trình duyệt có khả năng sửa đổi cài đặt trình duyệt web của nạn nhân để hiện thị kết quả tìm kiếm quảng cáo phần mềm rác, tự chạy thẻ truy cập các trang khảo sát giả mạo, tặng quà giả mạo, quảng cáo trò chơi người lớn và các trang web hẹn hò.

Những kẻ đứng sau phần mềm độc hại này sẽ nhận được lợi ích tài chính thông qua hệ thống liên kết tiếp thị.

Có rất nhiều mã độc thuộc loại này nhưng ChromeLoader nổi bật về tính bền bỉ, quy mô và con đường lây nhiễm nhờ lạm dụng PowerShell một cách tích cực.

Theo các nhà nghiên cứu của Red Canary, những người đã theo dõi hoạt động của ChromeLoader từ tháng 2 tới nay, những kẻ điều hành sử dụng tệp lưu trữ ISO độc hại để lây nhiễm mã độc cho nạn nhân.

Thường các file ISO độc hại sẽ được ngụy trang dưới dạng phần mềm, game crack để nạn nhân tự tải xuống và kích hoạt. Thậm chí, trên Twitter còn có các quảng cáo cho nhưng game Android crack với mã QR dẫn thẳng tới trang tải về phần mềm độc hại.

Khi người dùng nhấp đúp vào tệp ISO độc hại, nó sẽ được mount dưới dạng ổ CD-ROM ảo. Trong đó sẽ chứa các tệp thực thi với phần mở rộng .exe. Khi được chạy nó sẽ kích hoạt ChromeLoader và giải mã một lệnh PowerShell với khả năng tìm nạp tệp lưu trữ tài nguyên từ xa và tải nó dưới dạng một extension của Google Chrome.

Sau khi thực hiện xong, PowerShell sẽ xóa các tác vụ đã lên lịch khiến Chrome bị nhiễm một extension với khả năng âm thầm xâm nhập vào trình duyệt và thao túng kết quả tìm kiếm cũng như thực hiện những hành vi khác.

Mã độc nguy hiểm lây lan qua trình duyệt phổ biến, nhắm vào cả máy Mac và Windows

Những kẻ đứng đằng sau ChromeLoader cũng nhắm vào cả những máy tính chạy macOS. Chúng muốn thao túng cả Chrome và Safari chạy trên macOS.

Chuỗi lây nhiễm trên macOS cũng tương tự như trên Windows nhưng thay vì dùng ISO, chúng sử dụng tệp DMG (Apple Disk Imgage), một định dạng phổ biến hơn trên hệ điều hành của Apple.

Hơn nữa, thay vì thực thi trình cài đặt, biến thể ChromeLoader trên macOS sử dụng tập lệnh bash của trình cài đặt để tải xuống và giải nén exension ChromeLoader trong thư mục "private/var/tmp".

Để duy trì sự hiện diện lâu nhất có thể, ChromeLoader sẽ thêm file tùy chọn ('plist') vào thư mục '/Library/LaunchAgents'. Điều này đảm bảo rằng mỗi khi người dùng đăng nhập vào một phiên đồ họa, tập lệnh Bash của ChromeLoader có thể liên tục chạy.

Để kiểm tra, xóa extension bạn làm theo hướng dẫn sau:

Kiểm tra, xóa extension trên Google Chrome, Safari, Firefox

Ngoài ra, bạn cũng có thể kiểm tra các cài đặt khác của trình duyệt xem có điều gì bất thường hay không. Nếu phát hiện ra các cài đặt lạ, hãy khôi phục lại chế độ ban đầu để giải quyết vấn đề.

Theo The HackerNews

TIN CÙNG CHUYÊN MỤC

5.4 triệu tài khoản Twitter bị tấn công ...

08/08/2022 08:00:00 35
Twitter hôm thứ Sáu đã tiết lộ rằng một lỗi zero-day hiện đã được vá đã được sử dụng để liên kết số ...

Đánh cắp dữ liệu, APT và ransomware: Mối...

05/08/2022 10:00:00 65
Khi thiệt hại do tấn công mạng gây ra cho các doanh nghiệp và quốc gia đã được phổ biến rộng rãi trê...

Hơn 3.200 ứng dụng điện thoại di động bị...

01/08/2022 08:00:00 43
Các nhà nghiên cứu bảo mật đã phát hiện ra danh sách 3.207 ứng dụng dành cho thiết bị di động đang đ...

Các giải pháp bảo mật dành cho doanh ngh...

29/07/2022 04:00:00 163
AV-TEST, tổ chức độc lập trong lĩnh vực bảo mật công nghệ thông tin, đã công nhận Kaspersky Endpoint...

Hàng tá ứng dụng Android trên cửa hàng G...

29/07/2022 08:00:00 166
Một chiến dịch độc hại đã tận dụng các ứng dụng nhỏ giọt của Android có vẻ vô hại trên Cửa hàng Goog...

Có hay không khả năng bị hack thông tin ...

29/07/2022 12:00:00 70
Cách duy nhất để bạn có thể thực sự an toàn là sử dụng tính năng bảo vệ chống virus zero-day cùng vớ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ