Phát hiện tiện ích trên Google Chrome: Đào tiền ảo, chèn quảng cáo, đánh cắp dữ liệu người dùng

HustReMw

VIP Members
20/12/2016
251
544 bài viết
Phát hiện tiện ích trên Google Chrome: Đào tiền ảo, chèn quảng cáo, đánh cắp dữ liệu người dùng
Trend Micro phát hiện một mạng botnet mới phát tán thông quan tiện ích trên Google Chrome làm ảnh hưởng tới hàng trăm nghìn người. Loại botnet này được đặt tên là Droidclub và có các hành vi sẽ chèn quảng cáo, các mã khai thác tiền ảo vào các trang web mà nạn nhân truy cập.

1700120432671.png

Kể tấn công phát tán Droidclub thông qua các trang web. Đã tìm thấy 89 tiện ích Droidclub trên cửa hàng chính thức Google Chrome. Ước tính 423,992 người bị ảnh hưởng. Google đã xóa bỏ các tiện ích này, các C&C server của mã độc cũng bị xóa bỏ khỏi Cloudflare.

Đây là biểu đồ khái quát về hành vi của Droidclub:

upload_2018-2-7_9-39-46.png

Phát tán

Khi người dung truy cập vào các trang web độc hại. Một message hiển thị thông báo lỗi đánh lừa người dùng tải và cài đặt tiện ích của mã độc.

upload_2018-2-7_9-42-39.png

Dưới đây là tiện ích của mã độc, nhìn sơ qua nó không khác gì những tiện ích bình thường, khó có thể phát hiện được các hành vi độc hại.

upload_2018-2-7_9-44-48.png

Hành vi độc hại


Định kỳ tiện tích Droidclub sẽ nhận thông tin các địa chỉ web được cấu hình trên server định kỳ hiển thị một tab mới trên trình duyệt để quảng cáo. Hiện tại tiện ích quảng cáo cho các trang web bất hợp pháp như các trang web khiêu dâm, các bộ công cụ khai thác lỗ hổng...

Droidclub có thể chèn, chỉnh sửa các trang web mà nạn nhân đã nghé thăm, nó có thể chèn các link độc hại, link quảng cáo vào các trang web này với một số từ khóa nhất định. Quảng cáo trong các trang web ban đầu cũng có thể được thay thế bởi các quảng cáo của nó bằng cách thay thế các IFRAME có kích thước phù hơp.

Đây là một đoạn scipt được chèn.

upload_2018-2-7_9-54-25.png

Một thư viện Javascript từ Yandex Metrica được chèn vào các trang web ( Đây là một thư viện để chủ sở hưu trang web đánh giá khách hàng truy cập vào các trang web của họ). Thư viện này cung cấp các chức năng như gọi phát lại, ghi lại các thao tác như click chuột, cuộn và các tổ hợp phím...

Thật không may, thư viện này trong tay kẻ tấn công có thể đánh cắp thông tin người dùng tên, số điện thoại, các tài khoản...
Droidclub được thiết kế để ngăn cản việc report, cũng như gỡ bỏ tiện ích ra khỏi trình duyệt. Nó sẽ phát hiện nếu người dùng truy cập vào https://chrome.google.com/webstore/report/([a-z]+)nó sẽ chuyển hướng sang trang khác. Nó cũng phát hiện khi người dùng vào phần quản lý tiện ích chrome://extensions/. Nó sẽ chuyển hướng tới trang giả mạo, để người dùng tin tưởng tiện ích đã bị gỡ bỏ.
upload_2018-2-7_10-19-56.png
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
google chrome
Bên trên