Phần mềm độc hại tự cài đặt các tiện ích mở rộng trình duyệt độc hại để đánh cắp mật khẩu và tiền điện tử

www.tuoitre.vn -   22/11/2022 08:00:00 390

Một tiện ích mở rộng độc hại cho các trình duyệt web dựa trên Chromium đã được quan sát thấy là được phân phối thông qua một trình đánh cắp thông tin Windows lâu đời có tên là ViperSoftX.

Phần mềm độc hại tự cài đặt các tiện ích mở rộng trình duyệt độc hại để đánh cắp mật khẩu và tiền điện tử

Công ty an ninh mạng có trụ sở tại Séc đã đặt tên cho tiện ích bổ sung trình duyệt giả mạo là VenomSoftX do các tính năng độc lập của nó cho phép nó truy cập các lượt truy cập trang web, đánh cắp thông tin đăng nhập và dữ liệu khay nhớ tạm và thậm chí trao đổi địa chỉ tiền điện tử thông qua cuộc tấn công đối thủ ở giữa (AiTM) .

ViperSoftX, lần đầu tiên được đưa ra ánh sáng vào tháng 2 năm 2020, được Fortinet mô tả là một trojan truy cập từ xa và kẻ đánh cắp tiền điện tử dựa trên JavaScript. Việc phần mềm độc hại sử dụng tiện ích mở rộng trình duyệt để thúc đẩy các mục tiêu thu thập thông tin của nó đã được ghi lại bởi nhà phân tích mối đe dọa Sophos Colin Cowie vào đầu năm nay.

Nhà nghiên cứu Jan Rubín của Avast cho biết: “Kẻ đánh cắp bằng nhiều giai đoạn này thể hiện khả năng che giấu thú vị, được che giấu dưới dạng các tập lệnh PowerShell nhỏ trên một dòng duy nhất ở giữa các tệp nhật ký lớn trông có vẻ vô hại, trong số những tệp khác”.

"ViperSoftX tập trung vào việc đánh cắp tiền điện tử, hoán đổi khay nhớ tạm, lấy dấu vân tay của máy bị nhiễm, cũng như tải xuống và thực thi các tải trọng bổ sung tùy ý hoặc thực thi các lệnh."

Vectơ phân phối được sử dụng để lan truyền ViperSoftX thường được thực hiện bằng phần mềm bẻ khóa dành cho Adobe Illustrator và Microsoft Office được lưu trữ trên các trang web chia sẻ tệp.

Tệp thực thi đã tải xuống đi kèm với phiên bản sạch của phần mềm đã bẻ khóa cùng với các tệp bổ sung giúp thiết lập tính bền vững trên máy chủ và chứa tập lệnh ViperSoftX PowerShell.

Các biến thể mới hơn của phần mềm độc hại cũng có khả năng tải tiện ích bổ sung VenomSoftX, được truy xuất từ máy chủ từ xa, tới các trình duyệt dựa trên Chromium như Google Chrome, Microsoft Edge, Opera, Brave và Vivaldi.

Điều này đạt được bằng cách tìm kiếm các tệp LNK cho các ứng dụng trình duyệt và sửa đổi các phím tắt bằng công tắc dòng lệnh "--load-extension" trỏ đến đường dẫn lưu trữ tiện ích mở rộng đã giải nén.

Rubín giải thích: “Tiện ích mở rộng này cố ngụy trang thành các tiện ích mở rộng phổ biến và nổi tiếng của trình duyệt, chẳng hạn như Google Trang tính. "Trên thực tế, VenomSoftX là một kẻ đánh cắp thông tin khác được triển khai cho nạn nhân cả tin với toàn quyền truy cập vào mọi trang web mà người dùng truy cập từ trình duyệt bị nhiễm."

Điều đáng chú ý là chiến thuật --load-extension cũng đã được sử dụng bởi một kẻ đánh cắp thông tin dựa trên trình duyệt khác có tên là ChromeLoader (còn gọi là Choziosi Loader hoặc ChromeBack).

VenomSoftX, giống như ViperSoftX, cũng được dàn dựng để đánh cắp tiền điện tử từ các nạn nhân của nó. Nhưng không giống như cái sau, có chức năng như một công cụ cắt để định tuyến lại việc chuyển tiền sang ví do kẻ tấn công kiểm soát, VenomSoftX giả mạo các yêu cầu API đối với các sàn giao dịch tiền điện tử để rút tài sản kỹ thuật số.

Các dịch vụ được nhắm mục tiêu bởi tiện ích mở rộng bao gồm Blockchain.com, Binance, Coinbase, Gate.io và Kucoin.

Sự phát triển đánh dấu một mức độ leo thang mới đối với hoán đổi clipboard truyền thống, đồng thời không gây ra bất kỳ nghi ngờ nào ngay lập tức vì địa chỉ ví được thay thế ở cấp độ cơ bản hơn nhiều.

Avast cho biết họ đã phát hiện và chặn hơn 93.000 ca lây nhiễm kể từ đầu năm 2022, với phần lớn người dùng bị ảnh hưởng ở Ấn Độ, Hoa Kỳ, Ý, Brazil, Vương quốc Anh, Canada, Pháp, Pakistan và Nam Phi.

Một phân tích về các địa chỉ ví được mã hóa cứng trong các mẫu cho thấy rằng hoạt động này đã thu về cho các tác giả của nó tổng cộng khoảng 130.421 đô la vào ngày 8 tháng 11 năm 2022, bằng nhiều loại tiền điện tử khác nhau. Lợi ích tiền tệ tập thể kể từ đó đã giảm xuống còn 104.500 đô la.

“Vì các giao dịch trên chuỗi khối/sổ cái vốn dĩ không thể đảo ngược, nên khi người dùng kiểm tra lịch sử giao dịch của các khoản thanh toán sau đó thì đã quá muộn,” Rubín nói.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Cổng bảo mật 2 bước MFA vẫn có thể bị tấ...

13/02/2024 07:00:00 241
Trong bài viết trước, Kaspersky Proguide đã đề cập 2 chiêu thức tinh vi mà tin tặc sử dụng. Hôm nay,...

4 chiêu thức tin tặc sử dụng kỹ thuật xã...

12/02/2024 08:00:00 349
Trong bài viết này, hãy cùng Kaspersky Proguide khám phá 4 chiêu thức ứng dụng kỹ thuật xã hội mà ti...

Phần mềm độc hại Android MoqHao mới bị p...

08/02/2024 08:00:00 315
Các chuyên gia bảo mật vừa phát hiện được một biến thể mới của phần mềm độc hại Android có tên MoqHa...

73 lỗ hổng bảo mật Windows được Microsof...

08/02/2024 08:00:00 293
Microsoft đã phát hành các bản vá bảo mật để giải quyết 73 lỗi bảo mật trên dòng phần mềm của mình n...

Google bắt đầu chặn tải các ứng dụng And...

07/02/2024 08:00:00 335
Google công bố chương trình thí điểm mới tại Singapore nhằm ngăn chặn người dùng tải một số ứng dụng...

Cẩn trọng tìm việc làm qua Facebook bị đ...

06/02/2024 08:00:00 238
Những kẻ tấn công an ninh mạng đang tận dụng các quảng cáo việc làm không có thật trên Facebook để d...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ