Hacked MEGA Chrome Extension đã được sử dụng để ăn cắp tiền điện tử

Tiện ích mở rộng của Google Chrome cho dịch vụ chia sẻ và tải lên tệp phổ biến MEGA đã bị xâm nhập bởi các tin tặc tìm cách ăn cắp thông tin đăng nhập và các khóa tiền điện tử, theo thông tin từ các nhà nghiên cứu bảo mật.

Dịch vụ này, được khởi động bởi Kim Dotcom vào năm 2013 sau sự sụp đổ của MegaUpload, hiện đã bị xóa khỏi Cửa hàng Chrome trực tuyến.

SerHack là nhà nghiên cứu đầu tiên phát báo động, cảnh báo trong một tweet vào ngày 4 tháng 9 rằng:

!!! WARNING !!!!!!! PLEASE PAY ATTENTION!!

LATEST VERSION OF MEGA CHROME EXTENSION WAS HACKED.

Version: 3.39.4

It catches your username and password from Amazon, GitHub, Google, Microsoft portals!! It could catch #mega #extension #hacked@x0rz pic.twitter.com/TnPalqj1cz

— SerHack (@serhack_) September 4, 2018

Phiên bản 3.39.4 của phần mở rộng đã bị tấn công và có khả năng thu thập thông tin người dùng bao gồm tên người dùng và mật khẩu từ một số nền tảng bao gồm Amazon, Github, Google và Microsoft.

Phần mở rộng MEGA bị xâm phạm chủ động giám sát thông tin người dùng được lưu trữ trong trình duyệt, tìm kiếm các chuỗi URL chỉ ra biểu mẫu đăng ký hoặc đăng nhập. Các dữ liệu trên các hình thức như vậy sau đó được gửi đến một máy chủ không xác định tại Ukraine gọi là https://www.megaopac.host/.

Mã độc hại cũng giám sát các URL cụ thể như “https://www.myetherwallet.com/*”, “https://mymonero.com/*” và “https://idex.market/*”. Nếu thông tin đã lưu được phát hiện, nó sẽ thực hiện một hàm javascript cố gắng lấy cắp các khóa tiền điện tử riêng từ những người dùng đã đăng nhập.

Xác nhận việc hack, MEGA đã phát hành một tuyên bố:

Vào ngày 4 tháng 9 năm 2018 lúc 14:30 UTC, một kẻ tấn công không xác định đã tải lên phiên bản Trojan mở rộng của MEGA, phiên bản 3.39.4, đến cửa hàng Google Chrome. Sau khi cài đặt hoặc cập nhật tự động, nó sẽ yêu cầu quyền cao (Đọc và thay đổi tất cả dữ liệu của bạn trên các trang web bạn truy cập) mà phần mở rộng thực của MEGA không yêu cầu và (nếu quyền được cấp) nó sẽ lọc thông tin đăng nhập từ các trang web bao gồm amazon.com, live.com, github.com, google.com (đối với đăng nhập webstore), myetherwallet.com, mymonero.com, idex.market và các yêu cầu HTTP POST tới các trang web khác, đến một máy chủ đặt tại Ukraina. Lưu ý rằng thông tin đăng nhập mega.nz đã không được lọc.

Trong tuyên bố được phát hành ngày hôm qua, MEGA đổ lỗi cho Google về việc xóa bỏ khả năng ký các tiện ích mở rộng của họ, khiến việc thực hiện các sự cố như vậy dễ dàng hơn.

Một trích đoạn từ tuyên bố cho biết:

Chúng tôi muốn xin lỗi vì sự cố đáng kể này. MEGA sử dụng quy trình phát hành nghiêm ngặt với đánh giá mã nhiều bên, quy trình xây dựng mạnh mẽ và chữ ký mã hoá khi có thể. Thật không may, Google đã quyết định không cho phép chữ ký của nhà xuất bản trên tiện ích mở rộng của Chrome và hiện chỉ dựa vào ký tự động sau khi tải lên cửa hàng Chrome trực tuyến, loại bỏ rào cản quan trọng đối với thỏa hiệp bên ngoài. MEGAsync và phần mở rộng Firefox của chúng tôi được ký và lưu trữ bởi chúng tôi và do đó có thể không phải là nạn nhân của vectơ tấn công này. Mặc dù các ứng dụng dành cho thiết bị di động của chúng tôi được Apple / Google / Microsoft lưu trữ, chúng được ký bởi chúng tôi và do đó cũng miễn dịch.

Các nhà nghiên cứu bảo mật kiểm tra phần mở rộng Firefox của MEGA đã thấy không có bằng chứng giả mạo, giống trong tuyên bố của MEGA.

Phát biểu với Bleeping Computer, SerHack ban đầu phát hiện ra bản hack đã khuyên tất cả người dùng Chrome MEGA phải gỡ cài đặt tiện ích ngay lập tức. Ông cũng nói rằng những người dùng đó nên ngay lập tức thay đổi tất cả mật khẩu của họ trên bất kỳ tài khoản nào họ có thể đã sử dụng trên trình duyệt, đặc biệt là các tài khoản liên quan đến thông tin tài chính hoặc chính phủ.

Nguồn CCN

THEO DÕI CHÚNG TÔI TRÊN FACEBOOK | TELEGRAM | TWITTER