🔥 Công Ty TNHH TTTT Global đã đăng ký tín nhiệm. 🔥                    🔥 Công ty TNHH sản xuất và thương mại Khang Thịnh đã đăng ký tín nhiệm. 🔥                    🔥 Công ty Cổ phần Dinh Dưỡng Nutrihome - Chi nhánh TP Hồ Chí Minh đã đăng ký tín nhiệm. 🔥                    🔥 Công ty cổ phần PharmaOTC đã đăng ký tín nhiệm. 🔥                    🔥 Công ty TNHH Win Tech Solution đã đăng ký tín nhiệm. 🔥                   

Mã độc đánh cắp mật khẩu và tiền điện tử của người dùng thông qua extension trình duyệt độc hại

24/11/2022

Một tiện ích mở rộng (extension) độc hại dành cho các trình duyệt web dựa trên Chromium đã bị phát hiện đang được phát tán thông qua ViperSoftX, một phần mềm đánh cắp thông tin trên Windows.

Extension độc hại được đặt tên là VenomSoftX, được thiết kế để thu thập thông tin về số lượt truy cập trang web, đánh cắp thông tin đăng nhập, dữ liệu vùng nhớ tạm thời (clipboard), và tráo đổi địa chỉ ví điện tử của nạn nhân.

ViperSoftX lần đầu tiên được tiết lộ vào tháng 2 năm 2020, được Fortinet mô tả là một trojan truy cập từ xa dựa trên JavaScript có khả năng đánh cắp tiền điện tử. Việc phần mềm độc hại sử dụng extension cho trình duyệt để tăng khả năng thu thập thông tin của nó đã được báo cáo bởi nhà nghiên cứu Colin Cowie vào đầu năm nay.

Nhà nghiên cứu Jan Rubín của Avast cho biết “công cụ này được che giấu dưới dạng các đoạn mã PowerShell nhỏ trông có vẻ vô hại ở giữa các tệp log lớn”.

ViperSoftX tập trung vào việc đánh cắp tiền điện tử, hoán đổi clipboard, thu thập thông tin [fingerprinting] của máy bị nhiễm, cũng như tải xuống và thực thi các thành phần độc hại (payload) bổ sung hoặc thực thi các lệnh (command). Nó thường được lây nhiễm thông qua các phần mềm crack dành cho Adobe Illustrator và Microsoft Office.

Phần mềm crack tải xuống sẽ chứa phiên bản cài đặt của phần mềm đã bị bẻ khóa cùng với các tệp độc hại khác bao gồm tập lệnh ViperSoftX PowerShell.

Các biến thể mới hơn của nó cũng có khả năng cài đặt extension VenomSoft trên các trình duyệt dựa trên Chromium như Google Chrome, Microsoft Edge, Opera, Brave và Vivaldi. Điều này đạt được bằng cách tìm kiếm các tệp LNK cho các ứng dụng trình duyệt và sửa đổi shortcuts bằng một lệnh chuyển đổi "--load-extension" trỏ đến đường dẫn lưu trữ file cài đặt extension.

Chiến thuật --load-extension cũng đã được sử dụng bởi một công cụ đánh cắp thông tin dựa trên trình duyệt khác có tên ChromeLoader (hay Choziosi Loader hoặc ChromeBack).

VenomSoftX được thiết kế để giả dạng các tiện ích phổ biến của trình duyệt, như Google Sheets. "Trên thực tế, VenomSoftX là một phần mềm đánh cắp thông tin được triển khai trên trình duyệt nạn nhân với toàn quyền truy cập vào mọi trang web được truy cập từ trình duyệt bị nhiễm".

VenomSoftX, giống như ViperSoftX, cũng được sử dụng để đánh cắp tiền điện tử. Điểm khác biệt là nó có thêm chức năng như một clippe để định tuyến lại việc chuyển tiền sang ví do kẻ tấn công kiểm soát, VenomSoftX giả mạo các request API tới các sàn giao dịch tiền điện tử để rút tiền trái phép.

Các dịch vụ bị nhắm mục tiêu bởi extension này bao gồm Blockchain.com, Binance, Coinbase, Gate.io và Kucoin.

Phân tích các địa chỉ ví đã phát hiện cho thấy hoạt động này đã thu về cho kẻ đứng sau phần mềm độc hại này tổng cộng khoảng 130.421 đô la vào ngày 8 tháng 11 năm 2022, bằng nhiều loại tiền điện tử khác nhau.

Avast cho biết họ đã phát hiện và ngăn chặn hơn 93.000 ca lây nhiễm kể từ đầu năm 2022, với phần lớn người dùng bị ảnh hưởng ở Ấn Độ, Mỹ, Ý, Brazil, Vương quốc Anh, Canada, Pháp, Pakistan và Nam Phi.

Nguồn: thehackernews.com.

scrolltop