Các nhà nghiên cứu tại Zimperium zLabs đã phát hiện ra một tiện ích mở rộng (extension) trình duyệt độc hại, có tên là Cloud9, có thể đánh cắp thông tin nhạy cảm và riêng tư của người dùng, đồng thời kiểm soát hoàn toàn thiết bị của nạn nhân.
Điều khiến Cloud9 trở nên đặc biệt đáng lo ngại là nó đánh cắp dữ liệu bằng cách theo dõi các lần nhấn phím của bạn (tức là ghi nhật ký bàn phím). Nó theo dõi hoạt động trình duyệt web của nạn nhân, vốn là điều mà những tội phạm mạng rất thích thú. Xét cho cùng, trong quá trình lướt web, nhiều khả năng, bạn đã nhập các thông tin xác thực được săn lùng rất nhiều, bao gồm mật khẩu ngân hàng và những thông tin nhạy cảm khác.
Cloud9 là một mạng botnet có phương thức hoạt động dựa trên trojan truy cập từ xa (RAT). Các nhà nghiên cứu đã tìm thấy hai biến thể Cloud9: phiên bản gốc và phiên bản mới cải tiến. Tuy nhiên, trong báo cáo, các nhà điều tra tập trung vào biến thể thứ 2 vì nó "chứa các chức năng của cả 2 biến thể."
Cloud9 có thể thực hiện những thứ như sau:
- Theo dõi các lần nhấn phím của bạn (tức là ghi nhật ký bàn phím) để đánh cắp mật khẩu ngân hàng, thông tin thẻ tín dụng của bạn,…
- Đánh cắp dữ liệu sao chép và dán của bạn (ví dụ: Clipboard).
- Đánh cắp cookie của bạn để thỏa hiệp phiên người dùng.
- Sử dụng trình duyệt và tài nguyên máy tính của bạn để khai thác tiền điện tử.
- Kiểm soát thiết bị của bạn bằng cách thực thi mã độc.
- Thực hiện các cuộc tấn công DDoS từ PC của bạn.
- Chèn cửa sổ bật lên và quảng cáo.
Mặc dù Cloud9 là một plugin trình duyệt độc hại, nhưng nhóm Zimperium zLabs cho biết rằng, họ không tìm thấy nó trên bất kỳ cửa hàng tiện ích mở rộng trình duyệt chính thức nào (ví dụ như Chrome Web Store). Thay vào đó, các nhà nghiên cứu đã phát hiện ra Cloud9 thường xuyên giả mạo bản cập nhật Adobe Flash Player trên những trang web độc hại.
Mạng botnet Cloud9 hiện đang được bán miễn phí hoặc với giá vài trăm USD trên các diễn đàn hacker khác nhau. Báo cáo cảnh báo, phần mềm độc hại này không nhắm mục tiêu vào một nhóm cụ thể. Nó được thiết kế để nhắm mục tiêu đến tất cả người dùng và tội phạm mạng muốn lấy càng nhiều dữ liệu sinh lợi càng tốt từ mọi nạn nhân.
Zimperium tiết lộ rằng các trình duyệt nhạy cảm và dễ bị tấn công bởi Cloud9 bởi những giải pháp bảo mật điểm cuối truyền thống "không giám sát phương tiện tấn công này", nhưng miễn là bạn không tải những tiện ích mở rộng trình duyệt hay các file thực thi gian lận từ những trang web độc hại, thì Cloud9 sẽ vẫn là 1 mối đe dọa xa vời.
Điều khiến Cloud9 trở nên đặc biệt đáng lo ngại là nó đánh cắp dữ liệu bằng cách theo dõi các lần nhấn phím của bạn (tức là ghi nhật ký bàn phím). Nó theo dõi hoạt động trình duyệt web của nạn nhân, vốn là điều mà những tội phạm mạng rất thích thú. Xét cho cùng, trong quá trình lướt web, nhiều khả năng, bạn đã nhập các thông tin xác thực được săn lùng rất nhiều, bao gồm mật khẩu ngân hàng và những thông tin nhạy cảm khác.
Cloud9 là một mạng botnet có phương thức hoạt động dựa trên trojan truy cập từ xa (RAT). Các nhà nghiên cứu đã tìm thấy hai biến thể Cloud9: phiên bản gốc và phiên bản mới cải tiến. Tuy nhiên, trong báo cáo, các nhà điều tra tập trung vào biến thể thứ 2 vì nó "chứa các chức năng của cả 2 biến thể."
Cloud9 có thể thực hiện những thứ như sau:
- Theo dõi các lần nhấn phím của bạn (tức là ghi nhật ký bàn phím) để đánh cắp mật khẩu ngân hàng, thông tin thẻ tín dụng của bạn,…
- Đánh cắp dữ liệu sao chép và dán của bạn (ví dụ: Clipboard).
- Đánh cắp cookie của bạn để thỏa hiệp phiên người dùng.
- Sử dụng trình duyệt và tài nguyên máy tính của bạn để khai thác tiền điện tử.
- Kiểm soát thiết bị của bạn bằng cách thực thi mã độc.
- Thực hiện các cuộc tấn công DDoS từ PC của bạn.
- Chèn cửa sổ bật lên và quảng cáo.
Mặc dù Cloud9 là một plugin trình duyệt độc hại, nhưng nhóm Zimperium zLabs cho biết rằng, họ không tìm thấy nó trên bất kỳ cửa hàng tiện ích mở rộng trình duyệt chính thức nào (ví dụ như Chrome Web Store). Thay vào đó, các nhà nghiên cứu đã phát hiện ra Cloud9 thường xuyên giả mạo bản cập nhật Adobe Flash Player trên những trang web độc hại.
Cloud9 đến từ đâu?
Các nhà điều tra đã theo dõi nguồn gốc của Cloud9 từ một nhóm phần mềm độc hại có tên là Keksec. Các nhà nghiên cứu Zimperium zLabs cho biết: “Nhóm này nổi tiếng với phần mềm độc hại và botnet dựa trên hệ thống khai khác.”Mạng botnet Cloud9 hiện đang được bán miễn phí hoặc với giá vài trăm USD trên các diễn đàn hacker khác nhau. Báo cáo cảnh báo, phần mềm độc hại này không nhắm mục tiêu vào một nhóm cụ thể. Nó được thiết kế để nhắm mục tiêu đến tất cả người dùng và tội phạm mạng muốn lấy càng nhiều dữ liệu sinh lợi càng tốt từ mọi nạn nhân.
Zimperium tiết lộ rằng các trình duyệt nhạy cảm và dễ bị tấn công bởi Cloud9 bởi những giải pháp bảo mật điểm cuối truyền thống "không giám sát phương tiện tấn công này", nhưng miễn là bạn không tải những tiện ích mở rộng trình duyệt hay các file thực thi gian lận từ những trang web độc hại, thì Cloud9 sẽ vẫn là 1 mối đe dọa xa vời.
Theo VN review