WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Phát hiện phần mềm độc hại đánh cắp cookie trên Android nhằm chiếm đoạt tài khoản Facebook
Một loại phần mềm độc hại mới, tuy đơn giản nhưng nguy hiểm, trên Android vừa được phát hiện. Phần mềm này đánh cắp cookie xác thực trên trình duyệt web và các ứng dụng khác, gồm Chrome và Facebook, của thiết bị bị ảnh hưởng, sau đó chiếm đoạt tài khoản Facebook của người dùng.
Cookiethief này hoạt động bằng cách giành quyền root của “siêu người dùng” trên thiết bị đích, sau đó gửi cookie bị đánh cắp đến máy chủ C&C từ xa.
"Vấn đề không xuất phát từ lỗ hổng trong ứng dụng Facebook hoặc trình duyệt web. Phần mềm độc hại có thể đánh cắp các tập tin cookie của bất kỳ trang web từ các ứng dụng khác theo cùng một cách và đạt được kết quả tương tự", các nhà nghiên cứu của Kaspersky cho biết.
Cookiethief: Chiếm tài khoản mà không cần mật khẩu
Cookie là những mẩu thông tin nhỏ thường được các trang web sử dụng để phân biệt người dùng này với người dùng khác, theo dõi các phiên duyệt trên các trang web khác nhau, phục vụ nội dung được cá nhân hóa…
Lợi dụng cách thức các cookie cho phép người dùng đăng nhập vào dịch vụ mà không phải nhập thông tin đăng nhập liên tục, Cookiethief cho phép kẻ tấn công truy cập trái phép vào tài khoản của nạn nhân mà không cần biết mật khẩu.
Kaspersky đưa ra giả thuyết rằng có một số cách để Trojan có thể xuất hiện trên thiết bị - bao gồm cả việc cài phần mềm độc hại đó vào firmware của thiết bị trước khi mua hoặc bằng cách khai thác lỗ hổng trong hệ điều hành để tải xuống các ứng dụng độc hại.
Khi thiết bị bị nhiễm, phần mềm độc hại sẽ kết nối với một backdoor có tên 'Bood', được cài đặt trên cùng thiết bị để thực hiện các lệnh "siêu người dùng" tạo điều kiện cho việc đánh cắp cookie.
Làm thế nào kẻ tấn công vượt qua bảo vệ đa lớp của Facebook?
Facebook có các biện pháp bảo mật nhằm chặn mọi nỗ lực đăng nhập đáng ngờ, như các đăng nhập từ địa chỉ IP, thiết bị và trình duyệt chưa từng được sử dụng.
Nhưng kẻ xấu đã khắc phục vấn đề này bằng cách tận dụng phần thứ hai của phần mềm độc hại có tên 'Youzicheng', tạo ra một máy chủ proxy trên thiết bị bị nhiễm, mạo danh vị trí địa lý của chủ tài khoản để làm cho các yêu cầu truy cập trở nên hợp pháp.
"Bằng cách kết hợp hai cuộc tấn công này, tội phạm mạng có thể giành quyền kiểm soát hoàn toàn tài khoản của nạn nhân và không gây nghi ngờ từ Facebook", các nhà nghiên cứu lưu ý.
Kaspersky cho biết có khoảng 1.000 cá nhân đã trở thành mục tiêu của cuộc tấn công này, và cảnh báo con số này đang "gia tăng" bởi việc phát hiện không hề dễ dàng.
Để an toàn trước các cuộc tấn công cookiethief, người dùng được khuyến cáo chặn cookie của bên thứ ba trên trình duyệt điện thoại, xóa cookie thường xuyên và truy cập các trang web bằng chế độ duyệt web riêng tư.
Cookiethief này hoạt động bằng cách giành quyền root của “siêu người dùng” trên thiết bị đích, sau đó gửi cookie bị đánh cắp đến máy chủ C&C từ xa.
"Vấn đề không xuất phát từ lỗ hổng trong ứng dụng Facebook hoặc trình duyệt web. Phần mềm độc hại có thể đánh cắp các tập tin cookie của bất kỳ trang web từ các ứng dụng khác theo cùng một cách và đạt được kết quả tương tự", các nhà nghiên cứu của Kaspersky cho biết.
Cookiethief: Chiếm tài khoản mà không cần mật khẩu
Cookie là những mẩu thông tin nhỏ thường được các trang web sử dụng để phân biệt người dùng này với người dùng khác, theo dõi các phiên duyệt trên các trang web khác nhau, phục vụ nội dung được cá nhân hóa…
Lợi dụng cách thức các cookie cho phép người dùng đăng nhập vào dịch vụ mà không phải nhập thông tin đăng nhập liên tục, Cookiethief cho phép kẻ tấn công truy cập trái phép vào tài khoản của nạn nhân mà không cần biết mật khẩu.
Kaspersky đưa ra giả thuyết rằng có một số cách để Trojan có thể xuất hiện trên thiết bị - bao gồm cả việc cài phần mềm độc hại đó vào firmware của thiết bị trước khi mua hoặc bằng cách khai thác lỗ hổng trong hệ điều hành để tải xuống các ứng dụng độc hại.
Khi thiết bị bị nhiễm, phần mềm độc hại sẽ kết nối với một backdoor có tên 'Bood', được cài đặt trên cùng thiết bị để thực hiện các lệnh "siêu người dùng" tạo điều kiện cho việc đánh cắp cookie.
Làm thế nào kẻ tấn công vượt qua bảo vệ đa lớp của Facebook?
Facebook có các biện pháp bảo mật nhằm chặn mọi nỗ lực đăng nhập đáng ngờ, như các đăng nhập từ địa chỉ IP, thiết bị và trình duyệt chưa từng được sử dụng.
Nhưng kẻ xấu đã khắc phục vấn đề này bằng cách tận dụng phần thứ hai của phần mềm độc hại có tên 'Youzicheng', tạo ra một máy chủ proxy trên thiết bị bị nhiễm, mạo danh vị trí địa lý của chủ tài khoản để làm cho các yêu cầu truy cập trở nên hợp pháp.
"Bằng cách kết hợp hai cuộc tấn công này, tội phạm mạng có thể giành quyền kiểm soát hoàn toàn tài khoản của nạn nhân và không gây nghi ngờ từ Facebook", các nhà nghiên cứu lưu ý.
Kaspersky cho biết có khoảng 1.000 cá nhân đã trở thành mục tiêu của cuộc tấn công này, và cảnh báo con số này đang "gia tăng" bởi việc phát hiện không hề dễ dàng.
Để an toàn trước các cuộc tấn công cookiethief, người dùng được khuyến cáo chặn cookie của bên thứ ba trên trình duyệt điện thoại, xóa cookie thường xuyên và truy cập các trang web bằng chế độ duyệt web riêng tư.
Theo The Hacker News