Mã độc nguy hiểm lây lan qua trình duyệt phổ biến, nhắm vào cả máy Mac và Windows

www.tuoitre.vn -   25/05/2022 12:00:00 375

Trong tháng này, mã độc ChromeLoader đang phát triển mạnh về số lượng sau khi phá hoại với một quy mô ổn định kể từ đầu năm. Điều này khiến cho việc xâm nhập trình duyệt trở lành một mối đe dọa trên diện rộng.

Mã độc nguy hiểm lây lan qua trình duyệt phổ biến, nhắm vào cả máy Mac và Windows

ChromeLoader là loại mã độc xâm nhập trình duyệt có khả năng sửa đổi cài đặt trình duyệt web của nạn nhân để hiện thị kết quả tìm kiếm quảng cáo phần mềm rác, tự chạy thẻ truy cập các trang khảo sát giả mạo, tặng quà giả mạo, quảng cáo trò chơi người lớn và các trang web hẹn hò.

Những kẻ đứng sau phần mềm độc hại này sẽ nhận được lợi ích tài chính thông qua hệ thống liên kết tiếp thị.

Có rất nhiều mã độc thuộc loại này nhưng ChromeLoader nổi bật về tính bền bỉ, quy mô và con đường lây nhiễm nhờ lạm dụng PowerShell một cách tích cực.

Theo các nhà nghiên cứu của Red Canary, những người đã theo dõi hoạt động của ChromeLoader từ tháng 2 tới nay, những kẻ điều hành sử dụng tệp lưu trữ ISO độc hại để lây nhiễm mã độc cho nạn nhân.

Thường các file ISO độc hại sẽ được ngụy trang dưới dạng phần mềm, game crack để nạn nhân tự tải xuống và kích hoạt. Thậm chí, trên Twitter còn có các quảng cáo cho nhưng game Android crack với mã QR dẫn thẳng tới trang tải về phần mềm độc hại.

Khi người dùng nhấp đúp vào tệp ISO độc hại, nó sẽ được mount dưới dạng ổ CD-ROM ảo. Trong đó sẽ chứa các tệp thực thi với phần mở rộng .exe. Khi được chạy nó sẽ kích hoạt ChromeLoader và giải mã một lệnh PowerShell với khả năng tìm nạp tệp lưu trữ tài nguyên từ xa và tải nó dưới dạng một extension của Google Chrome.

Sau khi thực hiện xong, PowerShell sẽ xóa các tác vụ đã lên lịch khiến Chrome bị nhiễm một extension với khả năng âm thầm xâm nhập vào trình duyệt và thao túng kết quả tìm kiếm cũng như thực hiện những hành vi khác.

Mã độc nguy hiểm lây lan qua trình duyệt phổ biến, nhắm vào cả máy Mac và Windows

Những kẻ đứng đằng sau ChromeLoader cũng nhắm vào cả những máy tính chạy macOS. Chúng muốn thao túng cả Chrome và Safari chạy trên macOS.

Chuỗi lây nhiễm trên macOS cũng tương tự như trên Windows nhưng thay vì dùng ISO, chúng sử dụng tệp DMG (Apple Disk Imgage), một định dạng phổ biến hơn trên hệ điều hành của Apple.

Hơn nữa, thay vì thực thi trình cài đặt, biến thể ChromeLoader trên macOS sử dụng tập lệnh bash của trình cài đặt để tải xuống và giải nén exension ChromeLoader trong thư mục "private/var/tmp".

Để duy trì sự hiện diện lâu nhất có thể, ChromeLoader sẽ thêm file tùy chọn ('plist') vào thư mục '/Library/LaunchAgents'. Điều này đảm bảo rằng mỗi khi người dùng đăng nhập vào một phiên đồ họa, tập lệnh Bash của ChromeLoader có thể liên tục chạy.

Để kiểm tra, xóa extension bạn làm theo hướng dẫn sau:

Kiểm tra, xóa extension trên Google Chrome, Safari, Firefox

Ngoài ra, bạn cũng có thể kiểm tra các cài đặt khác của trình duyệt xem có điều gì bất thường hay không. Nếu phát hiện ra các cài đặt lạ, hãy khôi phục lại chế độ ban đầu để giải quyết vấn đề.

Theo The HackerNews

TIN CÙNG CHUYÊN MỤC

Phát hiện Dell, HP, Lenovo đang dùng các...

30/11/2022 08:00:00 67
Một phân tích về hình ảnh chương trình cơ sở trên các thiết bị của Dell, HP và Lenovo đã tiết lộ sự ...

Cập nhật ngay trình duyệt Chrome để vá l...

30/11/2022 08:00:00 75
Google hôm thứ Năm đã phát hành bản cập nhật phần mềm để giải quyết một lỗ hổng zero-day khác trong ...

Chế độ ẩn danh mới trên trình duyệt Chro...

30/11/2022 12:00:00 38
Không rõ tính năng này bắt đầu ra mắt khi nào nhưng Google chỉ kích hoạt săn nó theo mặc định cho mộ...

Hơn 300,000 thông tin Facebook bị hack q...

30/11/2022 12:00:00 36
Các ứng dụng lan truyền mã độc này được thiết kế núp bóng dưới dạng phần mềm đọc sách điện tử, với v...

Hàng triệu thiết bị Android vẫn chưa có ...

29/11/2022 08:00:00 88
Một bộ năm lỗ hổng bảo mật mức độ nghiêm trọng trung bình trong trình điều khiển GPU Mali của Arm đã...

Hàng loạt điện thoại Android dính mã độc...

29/11/2022 12:00:00 18
Đã có ít nhất 750 máy nhiễm mã độc nhưng do website chưa bị vô hiệu hóa và World Cup 2022 mới đi đượ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ