Phát hiện tiện ích trên Google Chrome: Đào tiền ảo, chèn quảng cáo, đánh cắp dữ liệu người dùng...

Thảo luận trong 'Virus/Malware' bắt đầu bởi HustReMw, 07/02/18, 10:02 AM.

  1. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 184
    Đã được thích: 120
    Điểm thành tích:
    43
    Trend Micro phát hiện một mạng botnet mới phát tán thông quan tiện ích trên Google Chrome làm ảnh hưởng tới hàng trăm nghìn người. Loại botnet này được đặt tên là Droidclub và có các hành vi sẽ chèn quảng cáo, các mã khai thác tiền ảo vào các trang web mà nạn nhân truy cập.
    Kể tấn công phát tán Droidclub thông qua các trang web. Đã tìm thấy 89 tiện ích Droidclub trên cửa hàng chính thức Google Chrome. Ước tính 423,992 người bị ảnh hưởng. Google đã xóa bỏ các tiện ích này, các C&C server của mã độc cũng bị xóa bỏ khỏi Cloudflare.
    Đây là biểu đồ khái quát về hành vi của Droidclub:
    upload_2018-2-7_9-39-46.png

    Phát tán
    Khi người dung truy cập vào các trang web độc hại. Một message hiển thị thông báo lỗi đánh lừa người dùng tải và cài đặt tiện ích của mã độc.
    upload_2018-2-7_9-42-39.png
    Dưới đây là tiện ích của mã độc, nhìn sơ qua nó không khác gì những tiện ích bình thường, khó có thể phát hiện được các hành vi độc hại.
    upload_2018-2-7_9-44-48.png

    Hành vi độc hại
    Định kỳ tiện tích Droidclub sẽ nhận thông tin các địa chỉ web được cấu hình trên server định kỳ hiển thị một tab mới trên trình duyệt để quảng cáo. Hiện tại tiện ích quảng cáo cho các trang web bất hợp pháp như các trang web khiêu dâm, các bộ công cụ khai thác lỗ hổng...
    Droidclub có thể chèn, chỉnh sửa các trang web mà nạn nhân đã nghé thăm, nó có thể chèn các link độc hại, link quảng cáo vào các trang web này với một số từ khóa nhất định. Quảng cáo trong các trang web ban đầu cũng có thể được thay thế bởi các quảng cáo của nó bằng cách thay thế các IFRAME có kích thước phù hơp.
    Đây là một đoạn scipt được chèn.
    upload_2018-2-7_9-54-25.png

    Một thư viện Javascript từ Yandex Metrica được chèn vào các trang web ( Đây là một thư viện để chủ sở hưu trang web đánh giá khách hàng truy cập vào các trang web của họ). Thư viện này cung cấp các chức năng như gọi phát lại, ghi lại các thao tác như click chuột, cuộn và các tổ hợp phím...
    Thật không may, thư viện này trong tay kẻ tấn công có thể đánh cắp thông tin người dùng tên, số điện thoại, các tài khoản...
    Droidclub được thiết kế để ngăn cản việc report, cũng như gỡ bỏ tiện ích ra khỏi trình duyệt. Nó sẽ phát hiện nếu người dùng truy cập vào https://chrome.google.com/webstore/report/([a-z]+)nó sẽ chuyển hướng sang trang khác. Nó cũng phát hiện khi người dùng vào phần quản lý tiện ích chrome://extensions/. Nó sẽ chuyển hướng tới trang giả mạo, để người dùng tin tưởng tiện ích đã bị gỡ bỏ.
    upload_2018-2-7_10-19-56.png
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    whf thích bài này.