Ảnh: BIGSTOCK
Theo Internet Storm Center, quá trình trộm cắp dữ liệu bắt đầu bằng một lời mời xem ảnh trên WhatsApp. Nếu người dùng nhấp vào liên kết, họ sẽ tải xuống whatsapp.exe, tệp tin cài đặt phần mềm độc hại. Thao tác này sẽ khởi chạy một trình đọc tương tự Adobe PDF, nhưng đồng thời cũng kích hoạt md1.exe và md0.exe ẩn trong một tệp .cab.
Tiếp đó, Windows Firewall đột ngột bị tắt, Google Chrome tự động thêm vào Catch-All. Tiện ích mở rộng này sẽ chiếm giữ bất kỳ dữ liệu nào mà nạn nhân đã đăng trực tuyến. Nó cũng sử dụng kết nối AJAX jQuery để gửi thông tin đến máy chủ C&C.
Chi tiết về vụ trộm cắp dữ liệu
Theo báo cáo của Help Net Security, Catch-All cho phép tội phạm mạng nhiều cơ hội để ăn cắp dữ liệu, bao gồm tên người dùng và mật khẩu. Nó còn tồi tệ hơn nhiều so với các mối đe dọa tương tự khi theo dõi lưu lượng truy cập trình duyệt, liên tục tự động gửi email spam và kích hoạt pop-up quảng cáo.
Không những thế, nó còn sử dụng các URL tải trong thời gian thực vì dùng máy chủ proxy hay chứng chỉ SSL giả mạo, cho nên các ứng dụng bảo mật truyền thống thường không nhận ra hành vi trộm cắp dữ liệu tinh vi này.
Threatpost nghi ngờ rằng Catch-All chủ yếu tập trung vào người dùng nói tiếng Bồ Đào Nha sống tại Brazil, vì đó là ngôn ngữ mà các email lừa đảo sử dụng. Tuy nhiên, không có lý do gì để bọn tội phạm mạng hạn chế khu vực tấn công của mình cả.
Catch-All và còn hơn thế nữa
Hot For Security đã chỉ ra rằng các tiện ích mở rộng của Google Chrome gần đây đều có vấn đề, chẳng hạn như một ứng dụng khai thác tiền điện tử trên thiết bị của người dùng gây xôn xao trong thời gian vừa qua. Điều đáng lo lắng là Catch-All đã thực hiện hành vi trộm cắp dữ liệu một cách toàn diện nhất từ trước đến nay so với các tiện ích mở rộng khác.
Thử suy nghĩ xem bao nhiêu thông tin từ người dùng sẽ bị đánh cắp khi Catch-All chưa bị phát hiện. Nó có thể đẩy người dùng trở thành nạn nhân với nguy cơ cao không thua gì các vụ tấn công an ninh mạng đình đám.
Đăng ký tại đây
Bình luận hay