Các tiện ích mở rộng VPN giả mạo đã được các nhà nghiên cứu an ninh mạng tại ReasonLabs phát hiện. Họ cho biết phần mềm độc hại này được phân phối thông qua các dòng game phổ biến như Grand Theft Auto, The Sims 4, Heroes 3 và Assassin's Creed. Các trình cài đặt trojan, là các ứng dụng Electron có kích thước từ 60 MB đến 100 MB, được cho là đã được tìm thấy trong hơn 1.000 tệp torrent khác nhau và ban đầu hoạt động giống như các VPN hợp pháp để tránh bị phát hiện.
Sau khi các tệp được tải xuống máy tính, các tiện ích mở rộng VPN sẽ tự động được cài đặt trên hệ thống mà không có bất kỳ sự tương tác nào từ phía người dùng. Trình cài đặt cũng được cho là đã kiểm tra phần mềm antivirus trên thiết bị bị nhiễm trước khi cài đặt một trong ít nhất ba tiện ích mở rộng VPN giả.
Phổ biến nhất trong ba ứng dụng này là netPlus, có hơn 1 triệu người dùng, trong khi hai ứng dụng còn lại là netSave và netWin, chiếm hơn 500.000 lượt cài đặt.
Các nhà phát triển tiện ích mở rộng độc hại đã cố gắng hết sức để miêu tả chúng là xác thực bằng cách cung cấp một số chức năng VPN thực tế cũng như các cấp đăng ký trả phí khiến chúng trông có vẻ chân thực ngay từ cái nhìn đầu tiên. Tuy nhiên, cả ba đều lạm dụng quyền 'offscreen, cho phép chúng chạy tập lệnh thông qua API ngoài màn hình, giành quyền truy cập toàn diện vào DOM (Document Object Model) hiện tại của trang web, cho phép chúng đánh cắp dữ liệu nhạy cảm của người dùng.
Các tiện ích mở rộng cũng có thể chiếm quyền điều khiển trình duyệt, thao túng các yêu cầu web và thậm chí tự động vô hiệu hóa các tiện ích mở rộng khác. Theo báo cáo, phần mềm độc hại đã vô hiệu hóa tiện ích mở rộng hoàn tiền trên máy tính bị nhiễm và chuyển lợi nhuận cho bọn tội phạm. Phần mềm độc hại được báo cáo đã nhắm mục tiêu hơn 100 tiện ích mở rộng hoàn tiền hợp pháp, bao gồm Avast Safeprice, AVG Safeprice, Honey: Automatic Coupons & Rewards, LetyShops, Megabonus, AliRadar Shopping Assistant, Yandex.Market Adviser, ChinaHelper, và Backlit.
Google đã xóa cả ba tiện ích mở rộng khỏi cửa hàng Chrome sau khi được ReasonLabs liên hệ, nhưng chúng đã kịp lây nhiễm khoảng 1,5 triệu thiết bị.
Xem thêm:
Nguồn: Techrum
0 nhận xét: