Mã độc phá vỡ tính năng bảo mật mở rộng của Chrome

Các nhà nghiên cứu tại TrendMicro đã phát hiện ra một thủ thuật lừa đảo mới mạo danh Google Chrome cung cấp Adobe Flash Player Extension để lừa nạn nhân click vào. Mã độc được kích hoạt bằng cách chi sẻ qua Facebook hoặc Twitter các liên kết rút gọn trên trang mạng xã hội. Sau khi nhấn vào, các liên kết sẽ dẫn nạn nhân đến một trang web độc hại và sẽ tự động tải các phần mở rộng (addon, extension) của trình duyệt.

Mã độc phá vỡ tính năng bảo mật mở rộng của Chrome

Quá trình này khá phức tạp vì các phần mềm độc hại cung cấp một tập tin downloader mà nếu người dùng tải chúng, các tập tin độc hại sẽ được tự động cài trên máy tính của họ. Hơn nữa, các chương trình độc hại cũng có khả năng vượt qua lớp bảo vệ an ninh mới được thêm của Google Chrome với việc cài đặt các phần mở rộng trình duyệt không có trong Chrome Web Store.

Theo nhà phân tích Sylvia Lascano của hãng bảo mật Trend Micro, trên Twitter đang có một video bẫy quảng cáo mang tên “Facebook bí mật” cùng với một liên kết rút gọn nhằm thu hút người xem bấm vào nó. Người dùng tò mò sẽ dễ dàng trở thành nạn nhân của video lừa đảo này và nhấp vào liên kết. Người dùng hoàn toàn không biết rằng các tập tin họ tải về là một phần mềm độc hại TROJ_DLOADE.DND.

Tập tin độc hại này bao gồm những phần mềm độc hại được cài đặt bổ sung vào máy tính nạn nhân, trong đó có phần mở rộng trình duyệt Chrome giả mạo Flash Player, có thể được sử dụng để đánh cắp thông tin các dịch vụ trực tuyến khác nhau của nạn nhân.

Để tránh bị phát hiện, các phần mềm độc hại làm hỏng chính sách bảo mật của Google bằng cách tạo ra một thư mục trong thư mục sẽ chứa các thành phần mở rộng của trình duyệt.

Mã độc phá vỡ tính năng bảo mật mở rộng của Chrome

Các thành phần mở rộng của trình duyệt cần được thêm vào thư mục mở rộng của Chrome như sau:

  • manifest.json – chứa các mô tả phần mở rộng trình duyệt như tên, quá trình tải, phiên bản….
  • CRX-to-exe-convert.txt – chứa các bước được nạp, có thể được cập nhật bất cứ lúc nào bằng cách kết nối đến một URL cụ thể.

Sau khi tất cả các dữ liệu được phân tích bằng các trình duyệt trong manifest.json, phần mở rộng sẽ sẵn sàng hoạt động.

Các nhà nghiên cứu đã phát hiện ra chiến dịch lừa đảo này và phần mềm độc hại đã được Retweet hơn 6.000 lần. Nhờ có các liên kết rút gọn nên số lượng các nạn nhân tăng rất nhanh. Vì vậy, để bảo vệ máy tính của bạn khỏi các mối đe dọa loại này, tránh truy cập vào các liên kết không rõ nguồn gốc và khả nghi. Ngoài ra với các đường dẫn rút gọn các bạn nên sử dụng mẹo để phát hiện các URL giả mạo.

Theo THN

Bình luận

Từ khóa: