Mã độc Android mới đánh cắp cookie chiếm đoạt tài khoản Facebook

  • 25/03/2020
  • 07:30

Một mã độc Android mới được tìm thấy đang cố gắng đánh cắp và chiếm đoạt các cookie định danh người dùng từ các trình duyệt web và các phần mềm khác, trong đó có trình duyệt Chrome và phần mềm Facebook được cài đặt trên thiết bị của nạn nhân. Đây được đánh giá là một mã độc mới có cấu trúc đơn giản nhưng lại nguy hiểm.

Mã độc được các nhà nghiên cứu bảo mật Kaspersky gọi tên là Cookiethief (tạm dịch là kẻ đánh cắp cookie), mã độc thuộc dạng Trojan hoạt động bằng cách yêu cầu quyền root superuser trên thiết bị mục tiêu, và sau đó chuyển cookie bị đánh cắp sang máy chủ chỉ huy và kiểm soát từ xa command and control do kẻ tấn công vận hành.

Các chuyên gia bảo mật của Kaspersky cho biết, hình thức tấn công này khả thi không phải là do lỗi hay lỗ hổng bên trong ứng dụng Facebook hoặc trình duyệt, mà là do mã độc này có thể đánh cắp tập tin của bất kỳ website nào trên bất kỳ ứng dụng nào bằng hình thức tương tự và đạt được kết quả tương tự.

Mã độc Cookiethief có thể chiếm đoạt các tài khoản mà không cần mật khẩu

Các cookie là các mảnh thông tin nhỏ thường xuyên được sử dụng bởi các website để định danh người dùng khỏi các người khác, được yêu cầu cho phép lưu trữ khi lướt web, theo dõi các hoạt động lướt web thông qua các website khác nhau, cung cấp các nội dung tương thích phù hợp với từng người dùng và liên kết đối tượng mục tiêu quảng cáo.

Mã độc Android mới đánh cắp cookie chiếm đoạt tài khoản Facebook

Dựa trên phương thức hoạt động của cookie trên một thiết bị cho phép người dùng giữ được đăng nhập trong một dịch vụ trực tuyến mà không cần đăng nhập nhiều lần, Cookiethief nhắm đến việc khai thác những hành vi của người dùng cho phép kẻ tấn công chiếm được quyền xâm nhập bất hợp pháp vào các tài khoản của nạn nhân mà không cần phải biết mật khẩu đăng nhập của họ.

Kaspersky giả thuyết rằng có thể có một số cách mà Trojan có thể xâm nhập vào thiết bị của người dùng, bao gồm việc cấy mã độc vào trong phần cứng của thiết bị trước khi mua, hay khai thác các lỗ hổng của hệ điều hành nhằm tải các phần mềm độc hại.

Một khi thiết bị bị lây nhiễm, mã độc kết nối với một backdoor cửa sau, mang tên Bood được cài đặt trên cùng một thiết bị thông minh nhằm thực thi các lệnh superuser để tiến hành đánh cắp cookie.

Hackers làm thế nào để vượt qua hàng rào bảo mật đa lớp của Facebook?

Mã độc cũng không hẳn dễ dàng gì lấy được tài khoản của Facebook. Bởi Facebook có một hệ thống đo lường bảo mật được dùng để chặn bất kỳ xâm nhập nào đáng ngờ, như là các địa chỉ IP là, thiết bị, và các trình duyệt chưa bao giờ sử dụng để đăng nhập trước đó.

Mã độc Android mới đánh cắp cookie chiếm đoạt tài khoản Facebook

Nhưng một tác nhân xấu được thiết lập để vượt qua vấn đề, với tên gọi Youzicheng, mã độc thứ hai sẽ tạo một mạng server proxy bên trong thiết bị bị lây nhiễm để tạo ra một định dạng vị trí địa lý của chủ tài khoản để làm cho việc đăng nhập trở nên hợp lệ.

Bằng cách kết hợp 2 cuộc tấn công này, tội phạm mạng có thể chiếm được toàn quyền điều khiển tài khoản của nạn nhân mà không dấy nên nghi ngờ từ Facebook.

Vẫn chưa rõ rằng kẻ tấn công sẽ làm gì sau đó, nhưng các chuyên gia bảo mật đã tìm thấy một trang trên server C2 dịch vụ quảng cáo đang phân phối các quảng cáo rác trên hệ thống mạng xã hội và messengers – dẫn dắt đến kết luận rằng tội phạm mạng có thể lợi dụng Cookiethief để chiếm đoạt tài khoản mạng xã hội của người dùng để lây lan các đường dẫn độc hại và thực hiện các cuộc tấn công lừa đảo.

Trong khi Kaspersky đang điều tra cuộc tấn công như một nguy cơ mới – chỉ có khoản 1000 cá nhân được nhắm đến – họ e rằng con số này có thể sẽ tăng lên.

Để bảo vệ khỏi các cuộc tấn công dạng này, các chuyên gia khuyến khích người dùng chặn các cookies từ các bên thứ ba trên trình duyệt, thường xuyên xóa cookies và có thể truy cập website bằng trình duyệt ẩn danh.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

  • Nguồn tin:
  • Mục danh sách #2