Phần mềm độc hại tự cài đặt các tiện ích mở rộng trình duyệt độc hại để đánh cắp mật khẩu và tiền điện tử

www.tuoitre.vn -   22/11/2022 08:00:00 440

Một tiện ích mở rộng độc hại cho các trình duyệt web dựa trên Chromium đã được quan sát thấy là được phân phối thông qua một trình đánh cắp thông tin Windows lâu đời có tên là ViperSoftX.

Phần mềm độc hại tự cài đặt các tiện ích mở rộng trình duyệt độc hại để đánh cắp mật khẩu và tiền điện tử

Công ty an ninh mạng có trụ sở tại Séc đã đặt tên cho tiện ích bổ sung trình duyệt giả mạo là VenomSoftX do các tính năng độc lập của nó cho phép nó truy cập các lượt truy cập trang web, đánh cắp thông tin đăng nhập và dữ liệu khay nhớ tạm và thậm chí trao đổi địa chỉ tiền điện tử thông qua cuộc tấn công đối thủ ở giữa (AiTM) .

ViperSoftX, lần đầu tiên được đưa ra ánh sáng vào tháng 2 năm 2020, được Fortinet mô tả là một trojan truy cập từ xa và kẻ đánh cắp tiền điện tử dựa trên JavaScript. Việc phần mềm độc hại sử dụng tiện ích mở rộng trình duyệt để thúc đẩy các mục tiêu thu thập thông tin của nó đã được ghi lại bởi nhà phân tích mối đe dọa Sophos Colin Cowie vào đầu năm nay.

Nhà nghiên cứu Jan Rubín của Avast cho biết: “Kẻ đánh cắp bằng nhiều giai đoạn này thể hiện khả năng che giấu thú vị, được che giấu dưới dạng các tập lệnh PowerShell nhỏ trên một dòng duy nhất ở giữa các tệp nhật ký lớn trông có vẻ vô hại, trong số những tệp khác”.

"ViperSoftX tập trung vào việc đánh cắp tiền điện tử, hoán đổi khay nhớ tạm, lấy dấu vân tay của máy bị nhiễm, cũng như tải xuống và thực thi các tải trọng bổ sung tùy ý hoặc thực thi các lệnh."

Vectơ phân phối được sử dụng để lan truyền ViperSoftX thường được thực hiện bằng phần mềm bẻ khóa dành cho Adobe Illustrator và Microsoft Office được lưu trữ trên các trang web chia sẻ tệp.

Tệp thực thi đã tải xuống đi kèm với phiên bản sạch của phần mềm đã bẻ khóa cùng với các tệp bổ sung giúp thiết lập tính bền vững trên máy chủ và chứa tập lệnh ViperSoftX PowerShell.

Các biến thể mới hơn của phần mềm độc hại cũng có khả năng tải tiện ích bổ sung VenomSoftX, được truy xuất từ máy chủ từ xa, tới các trình duyệt dựa trên Chromium như Google Chrome, Microsoft Edge, Opera, Brave và Vivaldi.

Điều này đạt được bằng cách tìm kiếm các tệp LNK cho các ứng dụng trình duyệt và sửa đổi các phím tắt bằng công tắc dòng lệnh "--load-extension" trỏ đến đường dẫn lưu trữ tiện ích mở rộng đã giải nén.

Rubín giải thích: “Tiện ích mở rộng này cố ngụy trang thành các tiện ích mở rộng phổ biến và nổi tiếng của trình duyệt, chẳng hạn như Google Trang tính. "Trên thực tế, VenomSoftX là một kẻ đánh cắp thông tin khác được triển khai cho nạn nhân cả tin với toàn quyền truy cập vào mọi trang web mà người dùng truy cập từ trình duyệt bị nhiễm."

Điều đáng chú ý là chiến thuật --load-extension cũng đã được sử dụng bởi một kẻ đánh cắp thông tin dựa trên trình duyệt khác có tên là ChromeLoader (còn gọi là Choziosi Loader hoặc ChromeBack).

VenomSoftX, giống như ViperSoftX, cũng được dàn dựng để đánh cắp tiền điện tử từ các nạn nhân của nó. Nhưng không giống như cái sau, có chức năng như một công cụ cắt để định tuyến lại việc chuyển tiền sang ví do kẻ tấn công kiểm soát, VenomSoftX giả mạo các yêu cầu API đối với các sàn giao dịch tiền điện tử để rút tài sản kỹ thuật số.

Các dịch vụ được nhắm mục tiêu bởi tiện ích mở rộng bao gồm Blockchain.com, Binance, Coinbase, Gate.io và Kucoin.

Sự phát triển đánh dấu một mức độ leo thang mới đối với hoán đổi clipboard truyền thống, đồng thời không gây ra bất kỳ nghi ngờ nào ngay lập tức vì địa chỉ ví được thay thế ở cấp độ cơ bản hơn nhiều.

Avast cho biết họ đã phát hiện và chặn hơn 93.000 ca lây nhiễm kể từ đầu năm 2022, với phần lớn người dùng bị ảnh hưởng ở Ấn Độ, Hoa Kỳ, Ý, Brazil, Vương quốc Anh, Canada, Pháp, Pakistan và Nam Phi.

Một phân tích về các địa chỉ ví được mã hóa cứng trong các mẫu cho thấy rằng hoạt động này đã thu về cho các tác giả của nó tổng cộng khoảng 130.421 đô la vào ngày 8 tháng 11 năm 2022, bằng nhiều loại tiền điện tử khác nhau. Lợi ích tiền tệ tập thể kể từ đó đã giảm xuống còn 104.500 đô la.

“Vì các giao dịch trên chuỗi khối/sổ cái vốn dĩ không thể đảo ngược, nên khi người dùng kiểm tra lịch sử giao dịch của các khoản thanh toán sau đó thì đã quá muộn,” Rubín nói.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Nhiều trang web chống virus giả mạo này ...

31/05/2024 08:00:00 176
Các chuyên gia bảo mật đã quan sát thấy các tác nhân đe dọa sử dụng các trang web giả mạo giả dạng g...

Top mười từ khóa trên Google không nên t...

31/05/2024 12:00:00 145
Dưới đây là những từ khóa được khuyến cáo không nên tìm kiếm trên Google.

Các nhà nghiên cứu phát hiện hoạt động k...

30/05/2024 08:00:00 148
Các nhà nghiên cứu an ninh mạng đã cảnh báo rằng nhiều lỗ hổng bảo mật có mức độ nghiêm trọng cao tr...

Nội dung của người dùng sẽ bị Facebook t...

30/05/2024 12:00:00 126
Nội dung công khai của người dùng – không phải tin nhắn riêng tư – sẽ được Meta sử dụng để đào tạo v...

Microsoft cảnh báo về sự gia tăng các cu...

29/05/2024 08:00:00 130
Microsoft đã nhấn mạnh sự cần thiết phải bảo mật các thiết bị công nghệ vận hành (OT) có kết nối int...

Elon Musk tố dữ liệu người dùng trên Wha...

29/05/2024 12:00:00 78
Elon Musk tuyên bố rằng WhatsApp xuất tất cả dữ liệu người dùng mỗi đêm, vi phạm quyền riêng tư nghi...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ