Ối dồi ôi! Chị em dùng Chrome cẩn thận nha, có thằng tiện ích chặn quảng cáo fake đang làm "tê liệt" máy tính để cài mã độc lén lút đấy!
Các cao thủ an ninh mạng vừa bóc phốt một chiến dịch tấn công siêu tinh vi mang tên KongTuke. Lũ hacker xài tiện ích Chrome giả làm trình chặn quảng cáo để... đánh sập luôn trình duyệt của bạn, rồi "thao túng tâm lý" để bạn tự tay chạy mấy lệnh độc hại. Vụ này còn phát tán một con RAT (phần mềm truy cập từ xa) hoàn toàn mới tên là ModeloRAT, chuyên nhắm vào các công ty luôn nha!
Theo công ty an ninh Huntress, đây là phiên bản "pro max" của kỹ thuật ClickFix, giờ được upgrade thành CrashFix - tức là lợi dụng lúc trình duyệt sập để ép người dùng "nhấn nút định mệnh".
Trong chiến dịch lần này, hacker tung ra một tiện ích tên NexShield, tự nhận là trình chặn quảng cáo "ưu tiên riêng tư, chạy cực mượt". Nghe thì ngon lành lắm nhưng thực ra... là cái bẫy chết người!
NexShield thực ra là một con trojan cực độc. Các chuyên gia phát hiện nó tấn công DoS (từ chối dịch vụ) ngay trong Chrome bằng cách tạo vô số kết nối chrome.runtime trong một vòng lặp vô tận, khiến RAM "bay màu" tức thì.
Với anh em dùng Chrome hoặc Edge, dấu hiệu nhận biết là các tab đơ cứng, CPU và RAM tăng vọt "phi mã", trình duyệt lag như rùa bò, không phản hồi và cuối cùng phải tắt hoặc khởi động lại thôi.
Kịch bản tấn công diễn ra theo ba bước "troll não" cực mạnh:
**Bước 1:** NexShield cố tình làm trình duyệt crash. Khi bạn khởi động lại, nó hiện một cửa sổ cảnh báo fake, rủ rê bạn quét hệ thống tìm lỗi.
**Bước 2:** Khi bạn bấm "Run Scan", lại có thêm một cảnh báo bảo mật giả nữa hiện lên, kèm theo hướng dẫn "khắc phục" chi tiết.
**Bước 3 - Bước chí mạng:** Bạn được "hướng dẫn" copy một đoạn lệnh rồi paste vào PowerShell hoặc Command Prompt.
Các chuyên gia khẳng định đây chính là kỹ thuật CrashFix – một biến thể của ClickFix. Thao tác copy-paste tưởng như vô hại này thực ra đã kích hoạt một đoạn script PowerShell ẩn, cho phép hacker tải và chạy mã độc từ xa. Ghê chưa!
Điểm "cao tay" của NexShield là nó chờ đợi khoảng một tiếng sau khi cài đặt mới bắt đầu phá, khiến bạn khó ngờ là do tiện ích vừa cài gây ra, đồng thời giúp nó tránh bị phát hiện sớm.
Phân tích cho thấy chiến dịch này có vẻ nhắm thẳng vào các doanh nghiệp, nơi mà hậu quả bị cài RAT có thể nghiêm trọng gấp bội phần.
Hiện tại, Google đã gỡ NexShield khỏi Chrome Web Store rồi nha! Tuy nhiên, các chuyên gia coi vụ này là "hồi chuông cảnh tỉnh" to đùng, cho thấy hacker ngày càng lợi dụng quảng cáo và kết quả tìm kiếm để dẫn dụ người dùng vào các tiện ích hoặc phần mềm fake, kể cả khi chúng xuất hiện trên những nền tảng vốn "uy tín" như Chrome Web Store đấy!
Nguồn: soha.vn
Các cao thủ an ninh mạng vừa bóc phốt một chiến dịch tấn công siêu tinh vi mang tên KongTuke. Lũ hacker xài tiện ích Chrome giả làm trình chặn quảng cáo để... đánh sập luôn trình duyệt của bạn, rồi "thao túng tâm lý" để bạn tự tay chạy mấy lệnh độc hại. Vụ này còn phát tán một con RAT (phần mềm truy cập từ xa) hoàn toàn mới tên là ModeloRAT, chuyên nhắm vào các công ty luôn nha!
Theo công ty an ninh Huntress, đây là phiên bản "pro max" của kỹ thuật ClickFix, giờ được upgrade thành CrashFix - tức là lợi dụng lúc trình duyệt sập để ép người dùng "nhấn nút định mệnh".
Trong chiến dịch lần này, hacker tung ra một tiện ích tên NexShield, tự nhận là trình chặn quảng cáo "ưu tiên riêng tư, chạy cực mượt". Nghe thì ngon lành lắm nhưng thực ra... là cái bẫy chết người!
NexShield thực ra là một con trojan cực độc. Các chuyên gia phát hiện nó tấn công DoS (từ chối dịch vụ) ngay trong Chrome bằng cách tạo vô số kết nối chrome.runtime trong một vòng lặp vô tận, khiến RAM "bay màu" tức thì.
Với anh em dùng Chrome hoặc Edge, dấu hiệu nhận biết là các tab đơ cứng, CPU và RAM tăng vọt "phi mã", trình duyệt lag như rùa bò, không phản hồi và cuối cùng phải tắt hoặc khởi động lại thôi.
Kịch bản tấn công diễn ra theo ba bước "troll não" cực mạnh:
**Bước 1:** NexShield cố tình làm trình duyệt crash. Khi bạn khởi động lại, nó hiện một cửa sổ cảnh báo fake, rủ rê bạn quét hệ thống tìm lỗi.
**Bước 2:** Khi bạn bấm "Run Scan", lại có thêm một cảnh báo bảo mật giả nữa hiện lên, kèm theo hướng dẫn "khắc phục" chi tiết.
**Bước 3 - Bước chí mạng:** Bạn được "hướng dẫn" copy một đoạn lệnh rồi paste vào PowerShell hoặc Command Prompt.
Các chuyên gia khẳng định đây chính là kỹ thuật CrashFix – một biến thể của ClickFix. Thao tác copy-paste tưởng như vô hại này thực ra đã kích hoạt một đoạn script PowerShell ẩn, cho phép hacker tải và chạy mã độc từ xa. Ghê chưa!
Điểm "cao tay" của NexShield là nó chờ đợi khoảng một tiếng sau khi cài đặt mới bắt đầu phá, khiến bạn khó ngờ là do tiện ích vừa cài gây ra, đồng thời giúp nó tránh bị phát hiện sớm.
Phân tích cho thấy chiến dịch này có vẻ nhắm thẳng vào các doanh nghiệp, nơi mà hậu quả bị cài RAT có thể nghiêm trọng gấp bội phần.
Hiện tại, Google đã gỡ NexShield khỏi Chrome Web Store rồi nha! Tuy nhiên, các chuyên gia coi vụ này là "hồi chuông cảnh tỉnh" to đùng, cho thấy hacker ngày càng lợi dụng quảng cáo và kết quả tìm kiếm để dẫn dụ người dùng vào các tiện ích hoặc phần mềm fake, kể cả khi chúng xuất hiện trên những nền tảng vốn "uy tín" như Chrome Web Store đấy!
Nguồn: soha.vn