Các chuyên gia khám phá 350 biến thể mở rộng trình duyệt được sử dụng trong chiến dịch phần mềm quảng cáo ABCsoup

Chiến dịch phần mềm quảng cáo ABCsoup

Một tiện ích mở rộng trình duyệt độc hại với 350 biến thể đang giả dạng tiện ích bổ sung Google Dịch như một phần của chiến dịch nhắm mục tiêu người dùng Nga sử dụng các trình duyệt Google Chrome, Opera và .

Công ty bảo mật di động Zimperium được mệnh danh là gia đình phần mềm độc hại ABCsoupnêu rõ “các tiện ích mở rộng được cài đặt vào máy của nạn nhân thông qua tệp thực thi dựa trên Windows, bỏ qua hầu hết các giải pháp bảo mật điểm cuối, cùng với các kiểm soát bảo mật được tìm thấy trong các cửa hàng tiện ích mở rộng chính thức.”

Tiện ích bổ sung của trình duyệt giả mạo có cùng ID tiện ích mở rộng của Google Dịch – “aapbdbdomjkkjkaonfhkkikfgjllcleb” – nhằm đánh lừa người dùng tin rằng họ đã cài đặt một tiện ích mở rộng hợp pháp.

Các tiện ích mở rộng không có sẵn trên các cửa hàng web chính thức của trình duyệt. Thay vào đó, chúng được phân phối thông qua các tệp thực thi Windows khác nhau cài đặt tiện ích bổ sung trên trình duyệt web của nạn nhân.

Trong trường hợp người dùng được nhắm mục tiêu đã cài đặt tiện ích mở rộng Google Dịch, tiện ích này sẽ thay thế phiên bản gốc bằng biến thể độc hại do số phiên bản cao hơn của họ (30.2.5 so với 2.0.10).

Xem tiếp:   FCC bổ sung Kaspersky và các công ty viễn thông Trung Quốc vào danh sách đe dọa an ninh quốc gia

Chiến dịch phần mềm quảng cáo ABCsoup

Nhà nghiên cứu Nipun Gupta của Zimperium cho biết: “Hơn nữa, khi tiện ích mở rộng này được cài đặt, Cửa hàng Chrome trực tuyến cho rằng đó là Google Dịch chứ không phải tiện ích mở rộng độc hại vì Cửa hàng trực tuyến chỉ kiểm tra các ID tiện ích mở rộng”.

Tất cả các biến thể được quan sát của tiện ích mở rộng đều hướng tới việc phân phát cửa sổ bật lên, thu thập thông tin cá nhân để phân phối quảng cáo nhắm mục tiêu cụ thể, tìm kiếm lấy dấu vân tay và đưa JavaScript độc hại có thể hoạt động như một phần mềm gián điệp để nắm bắt các thao tác gõ phím và hoạt động của trình duyệt web.

Chức năng chính của ABCsoup bao gồm việc kiểm tra các dịch vụ mạng xã hội của Nga như Odnoklassniki và VK trong số các trang web hiện tại được mở trong trình duyệt và nếu có, hãy thu thập họ và tên, ngày sinh và giới tính của người dùng và truyền dữ liệu tới một máy chủ từ xa.

Phần mềm độc hại không chỉ sử dụng thông tin này để phân phát quảng cáo được cá nhân hóa, tiện ích mở rộng còn có khả năng đưa mã JavaScript tùy chỉnh dựa trên các trang web đã mở. Điều này bao gồm YouTube, Facebook, ASKfm, Mail.ru, Yandex, Rambler, Avito, Brainly's Znanija, Kismia và rollApp, cho thấy sự tập trung của Nga.

Xem tiếp:   Chiến dịch bộ công cụ khai thác RIG mới lây nhiễm vào máy tính của nạn nhân bằng RedLine Stealer

Zimperium quy chiến dịch này là do một “nhóm được tổ chức tốt” có nguồn gốc từ Đông Âu và Nga, với các tiện ích mở rộng được thiết kế để nhắm mục tiêu người dùng Nga với nhiều tên miền địa phương được nhắm mục tiêu.

“Phần mềm độc hại này được thiết kế có chủ đích để nhắm mục tiêu đến tất cả các loại người dùng và phục vụ mục đích truy xuất thông tin người dùng”, Gupta nói. “Các tập lệnh được đưa vào có thể dễ dàng được sử dụng để phục vụ các hành vi độc hại hơn vào phiên trình duyệt, chẳng hạn như ánh xạ tổ hợp phím và lọc dữ liệu.”

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / tấn công mạng Hơn một …