Phát hiện tiện ích trên Google Chrome: Đào tiền ảo, chèn quảng cáo, đánh cắp dữ liệu người dùng
Trend Micro phát hiện một mạng botnet mới phát tán thông quan tiện ích trên Google Chrome làm ảnh hưởng tới hàng trăm nghìn người. Loại botnet này được đặt tên là Droidclub và có các hành vi sẽ chèn quảng cáo, các mã khai thác tiền ảo vào các trang web mà nạn nhân truy cập.
Kể tấn công phát tán Droidclub thông qua các trang web. Đã tìm thấy 89 tiện ích Droidclub trên cửa hàng chính thức Google Chrome. Ước tính 423,992 người bị ảnh hưởng. Google đã xóa bỏ các tiện ích này, các C&C server của mã độc cũng bị xóa bỏ khỏi Cloudflare.
Đây là biểu đồ khái quát về hành vi của Droidclub:
Dưới đây là tiện ích của mã độc, nhìn sơ qua nó không khác gì những tiện ích bình thường, khó có thể phát hiện được các hành vi độc hại.
Định kỳ tiện tích Droidclub sẽ nhận thông tin các địa chỉ web được cấu hình trên server định kỳ hiển thị một tab mới trên trình duyệt để quảng cáo. Hiện tại tiện ích quảng cáo cho các trang web bất hợp pháp như các trang web khiêu dâm, các bộ công cụ khai thác lỗ hổng...
Droidclub có thể chèn, chỉnh sửa các trang web mà nạn nhân đã nghé thăm, nó có thể chèn các link độc hại, link quảng cáo vào các trang web này với một số từ khóa nhất định. Quảng cáo trong các trang web ban đầu cũng có thể được thay thế bởi các quảng cáo của nó bằng cách thay thế các IFRAME có kích thước phù hơp.
Đây là một đoạn scipt được chèn.
Một thư viện Javascript từ Yandex Metrica được chèn vào các trang web ( Đây là một thư viện để chủ sở hưu trang web đánh giá khách hàng truy cập vào các trang web của họ). Thư viện này cung cấp các chức năng như gọi phát lại, ghi lại các thao tác như click chuột, cuộn và các tổ hợp phím...
Thật không may, thư viện này trong tay kẻ tấn công có thể đánh cắp thông tin người dùng tên, số điện thoại, các tài khoản...
Droidclub được thiết kế để ngăn cản việc report, cũng như gỡ bỏ tiện ích ra khỏi trình duyệt. Nó sẽ phát hiện nếu người dùng truy cập vào “https://chrome.google.com/webstore/report/([a-z]+)” nó sẽ chuyển hướng sang trang khác. Nó cũng phát hiện khi người dùng vào phần quản lý tiện ích chrome://extensions/. Nó sẽ chuyển hướng tới trang giả mạo, để người dùng tin tưởng tiện ích đã bị gỡ bỏ.
Kể tấn công phát tán Droidclub thông qua các trang web. Đã tìm thấy 89 tiện ích Droidclub trên cửa hàng chính thức Google Chrome. Ước tính 423,992 người bị ảnh hưởng. Google đã xóa bỏ các tiện ích này, các C&C server của mã độc cũng bị xóa bỏ khỏi Cloudflare.
Đây là biểu đồ khái quát về hành vi của Droidclub:
Phát tán
Khi người dung truy cập vào các trang web độc hại. Một message hiển thị thông báo lỗi đánh lừa người dùng tải và cài đặt tiện ích của mã độc.
Hành vi độc hại
Định kỳ tiện tích Droidclub sẽ nhận thông tin các địa chỉ web được cấu hình trên server định kỳ hiển thị một tab mới trên trình duyệt để quảng cáo. Hiện tại tiện ích quảng cáo cho các trang web bất hợp pháp như các trang web khiêu dâm, các bộ công cụ khai thác lỗ hổng...
Droidclub có thể chèn, chỉnh sửa các trang web mà nạn nhân đã nghé thăm, nó có thể chèn các link độc hại, link quảng cáo vào các trang web này với một số từ khóa nhất định. Quảng cáo trong các trang web ban đầu cũng có thể được thay thế bởi các quảng cáo của nó bằng cách thay thế các IFRAME có kích thước phù hơp.
Đây là một đoạn scipt được chèn.
Một thư viện Javascript từ Yandex Metrica được chèn vào các trang web ( Đây là một thư viện để chủ sở hưu trang web đánh giá khách hàng truy cập vào các trang web của họ). Thư viện này cung cấp các chức năng như gọi phát lại, ghi lại các thao tác như click chuột, cuộn và các tổ hợp phím...
Thật không may, thư viện này trong tay kẻ tấn công có thể đánh cắp thông tin người dùng tên, số điện thoại, các tài khoản...
Droidclub được thiết kế để ngăn cản việc report, cũng như gỡ bỏ tiện ích ra khỏi trình duyệt. Nó sẽ phát hiện nếu người dùng truy cập vào “https://chrome.google.com/webstore/report/([a-z]+)” nó sẽ chuyển hướng sang trang khác. Nó cũng phát hiện khi người dùng vào phần quản lý tiện ích chrome://extensions/. Nó sẽ chuyển hướng tới trang giả mạo, để người dùng tin tưởng tiện ích đã bị gỡ bỏ.
Chỉnh sửa lần cuối bởi người điều hành: