• Thứ Hai, 22/09/2014 11:49 (GMT+7)

    Tin tặc tấn công dữ liệu người dùng qua tiện ích mở rộng cho trình duyệt

    Huy Hoàng
    Hãng bảo mật Trend Micro cho biết các phần mở rộng của trình duyệt vốn ban đầu được tạo ra để mở rộng chức năng của một trình duyệt nay đã trở thành một công cụ cho các kế hoạch tin tặc.

    Vào đầu năm 2014, Google đã giải quyết vấn đề về các phần mở rộng trình duyệt độc hại bằng cách chỉ cho phép cài đặt khi các phần mở rộng (browser extension) được cung cấp trên Chrome Web Store. Tuy nhiên điều này chưa hoàn toàn ngăn cản được tin tặc trong việc khai thác những công cụ bổ sung cho trình duyệt để chèn mã độc để xâm nhập dữ liệu và thông tin người dùng.

    Trend Micro đã phát hiện ra một bài viết trên Twitter với lời mời mọc hấp dẫn "Những bí mật của Facebook " với một đường link rút gọn. Nếu người dùng nhấn vào liên kết này, họ sẽ bị dẫn đến một trang web, sau đó trình duyệt sẽ tự động tải về một tập tin EXE và xâm nhập vào hệ thống máy tính.

    Đầu tháng 9 vừa rồi, trang cung cấp phần mềm Softpedia.com cũng đã trích dẫn phát ngôn của Sylvia Lascano - nhà phân tích lừa đảo trên mạng của Trend Micro, cho biết tập tin tải về mang tên "download-video.exe" thực chất là một dropper (một loại malware có chức năng cài đặt các loại malware khác vào hệ thống đích) như là TROJ_DLOADE.DND.

    Người dùng nên cẩn thận trước những extension giả mạo như thế này,
    Dropper này được sử dụng để cài thêm những malware khác vào hệ thống, một phần mở rộng trình duyệt Chrome mạo danh là trình Flash Player có thể là một trong số chúng. Loại mã độc này có thể được sử dụng cho các mục đích khác nhằm vào việc đánh cắp thông tin về các dịch vụ trực tuyến như thẻ ngân hàng, tín dụng của người dùng máy tính.

    Lascano cho biết thêm: "Malware này sẽ xây dựng một thư mục trong thư mục gốc của Google Chrome để né tránh chính sách bảo mật của Google và nó sẽ thả các thành phần mở rộng của trình duyệt vào thư mục này".

    Bản nội dung thành phần mở rộng (extension manifest) và kịch bản thực thi ("crx-to-exe-convert.txt") được thêm vào thư mục phần mở rộng của Chrome. Phần mở rộng này đã sẵn sàng để làm việc sau khi trình duyệt phân tích toàn bộ dữ liệu.
    Khi trình duyệt khởi động lại để cập nhật những extension mới, những đối tượng không phù hợp với chính sách bảo mật của Google sẽ bị yêu cầu cài lại bằng cách thủ công. Khi người dùng mở Twitter hay Facebook, phần mở rộng này sẽ mở ra một trang web trong nền có chứa những cụm từ viết bằng tiếng Thổ Nhĩ Kỳ.

    Các phần mở rộng độc hại này sẽ thực hiện việc chuyển hướng trang web đến các trang nguy hại và thực hiện việc nhấn chuột ảo (click fraud).

    Việc sử dụng phương tiện truyền thông xã hội trong việc thúc đẩy các malware ngày càng tăng vì nó giúp tội phạm mạng đăng các liên kết độc hại và chúng được tiếp xúc nhiều hơn những gì chúng muốn chia sẻ.

    Do đó, bạn đừng bao giờ nhấn vào các đường link rút gọn không rõ nguồn gốc. Đây là việc làm cần thiết và rất quan trọng để bảo vệ hệ thống và dữ liệu. Với những trình mở rộng của trình duyệt, bạn tuyệt đối không được cài những công cụ từ nguồn ngoài, mà chỉ nên cài từ trang cung cấp của Google Chrome Web Store hay Firefox Add-on Store để tránh những plugin hay add-on giả mạo.