Các nhà nghiên cứu từ công ty bảo mật Varonis (Mỹ) vừa công bố một phát hiện đáng chú ý, theo đó một loại mã độc đánh cắp thông tin mới có khả năng thu thập hàng loạt dữ liệu quan trọng từ trình duyệt web người dùng, bao gồm tài khoản, mật khẩu, cookie phiên, thậm chí cả ví tiền điện tử.
 |
| Ảnh minh họa. |
Mã độc đánh cắp thông tin vốn không phải là khái niệm mới mà loại phần mềm độc hại này đã xuất hiện từ giữa những năm 2000. Tuy nhiên, biến thể mới mang tên Storm cho thấy mức độ tinh vi đã tăng lên đáng kể, đặc biệt trong cách vượt qua các cơ chế bảo mật hiện đại.
Cách thức hoạt động của mã độc Storm: Không giải mã trên máy nạn nhân
Thông thường, các phần mềm đánh cắp thông tin sẽ hoạt động trực tiếp trên máy nạn nhân. Chúng khai thác các cơ sở dữ liệu cục bộ (như SQLite) để trích xuất thông tin đăng nhập đã lưu trên trình duyệt.
Tuy nhiên, mọi thứ bắt đầu thay đổi khi Google giới thiệu cơ chế Mã hóa liên kết ứng dụng (App-Bound Encryption) trong Google Chrome phiên bản 127 (tháng 7/2024). Cơ chế này gắn khóa mã hóa với chính ứng dụng trình duyệt, khiến việc giải mã dữ liệu ngay trên máy trở nên khó khăn hơn.
Để “lách” qua lớp bảo vệ này, Storm áp dụng một chiến thuật hoàn toàn khác, đó là thay vì giải mã dữ liệu trên thiết bị nạn nhân, mã độc sẽ thu thập dữ liệu đã mã hóa và gửi về máy chủ của kẻ tấn công.
Tại đây, toàn bộ quá trình giải mã và phân tích sẽ diễn ra từ xa. Điều này giúp Storm tránh được sự phát hiện của nhiều công cụ bảo mật trên thiết bị đầu cuối (endpoint security), vốn thường chỉ giám sát hoạt động giải mã cục bộ.
Những dữ liệu nào có thể bị đánh cắp?
Storm có khả năng thu thập gần như toàn bộ “dấu vết số” của người dùng, bao gồm:
- Tài khoản và mật khẩu đã lưu.
- Cookie phiên đăng nhập.
- Dữ liệu tự động điền (autofill).
- Mã thông báo tài khoản Google.
- Thông tin thẻ tín dụng.
- Lịch sử duyệt web.
- Dữ liệu từ thư mục người dùng và ứng dụng phổ biến.
- Ví tiền điện tử.
Đáng lo ngại hơn, việc chiếm đoạt cookie phiên cho phép kẻ tấn công đăng nhập vào tài khoản mà không cần mật khẩu hay mã xác thực hai yếu tố (2FA).
Vượt mặt công cụ bảo mật nhờ xử lý từ xa
Một trong những điểm nguy hiểm nhất của Storm là khả năng “ẩn mình”. Do dữ liệu được giải mã trên máy chủ do tin tặc kiểm soát, các công cụ bảo mật trên máy người dùng gần như không phát hiện được hành vi đáng ngờ.
Không chỉ vậy, Storm còn hỗ trợ nhiều trình duyệt khác nhau, từ nền tảng Chromium đến Firefox. Điều này mở rộng phạm vi tấn công đáng kể.
Ngoài ra, mã độc còn tự động hóa quá trình ghi lại các sự kiện, hoạt động hoặc dữ liệu xảy ra trong hệ thống sau khi giải mã, giúp tin tặc dễ dàng truy cập và tái sử dụng các phiên đăng nhập bị đánh cắp.
 |
| Mã độc Storm có khả năng thu thập gần như toàn bộ “dấu vết số” của người dùng. Ảnh: Internet. |
Theo Varonis, Storm được rao bán với giá dưới 1.000 USD/tháng, mức chi phí tương đối thấp, khiến nó trở thành công cụ dễ tiếp cận với nhiều nhóm tấn công mạng.
Thực tế, mã độc này đã được phát hiện trong nhiều chiến dịch nhắm vào tài khoản tài chính, mạng xã hội và tiền điện tử tại nhiều quốc gia, bao gồm cả Mỹ.
Người dùng cần làm gì để tự bảo vệ?
Trước mối đe dọa ngày càng tinh vi, người dùng cá nhân không nên chủ quan. Một số biện pháp cơ bản nhưng hiệu quả bao gồm:
- Thường xuyên xóa cookie trình duyệt hoặc thiết lập xóa tự động.
- Tránh truy cập các trang web không rõ nguồn gốc.
- Không tải xuống phần mềm từ nguồn không đáng tin cậy.
- Sử dụng trình quản lý mật khẩu.
- Luôn cập nhật hệ điều hành và phần mềm bảo mật.
- Quét virus định kỳ.
Trong bối cảnh tin tặc ngày càng tận dụng trí tuệ nhân tạo để phát triển mã độc, ranh giới giữa an toàn và rủi ro ngày càng mong manh. Việc chủ động bảo vệ dữ liệu cá nhân vì thế trở nên quan trọng hơn bao giờ hết.
Storm cho thấy một thực tế rõ ràng rằng, các mối đe dọa mạng đang tiến hóa nhanh hơn nhiều so với suy nghĩ của phần lớn người dùng. Và trong cuộc đua này, sự cảnh giác chính là “lá chắn” đầu tiên và quan trọng nhất./.
Thông tin bạn đọc
Đóng Lưu thông tin