Tiện ích mở rộng MEGA Chrome bị hack và được sử dụng để đánh cắp Monero của người dùng

Hôm thứ Ba, một người dùng Reddit đã cảnh báo rằng MEGA – tiện ích nền tảng chia sẻ tệp phổ biến của Chrome đã bị hack và được sử dụng để đánh cắp chìa khóa riêng tư, tên người dùng và mật khẩu. Cuộc tấn công sau đó được xác nhận bởi cả MEGA và Monero.

Vào khoảng 11:30 am hôm thứ Ba, người dùng Reddit u/gattacus đã đăng tải một cảnh báo trong /r/Monero subreddit, trong đó cảnh báo độc giả không sử dụng phiên bản v.3.39.4 của tiện ích mở rộng MEGA Chrome vì nó dường như đã bị hack.

u/gattacus giải thích:

“Đã có bản cập nhật cho tiện ích mở rộng này và nó đã yêu cầu quyền mới (đọc dữ liệu trên tất cả các trang web). Điều đó làm tôi nghi ngờ và tôi đã kiểm tra bộ mã mở rộng cục bộ (hầu hết là javascript). MEGA cũng có mã nguồn của phần mở rộng trên github […] Gần đây không có commit nào cả. Theo tôi, có vẻ như tài khoản Google Webstore của họ đã bị hack hoặc ai đó bên trong MEGA đã thực hiện việc này”.

Ngay sau khi cảnh báo xuất hiện trên Reddit, Monero đã đưa ra cảnh báo riêng của mình thông qua tài khoản Twitter chính thức:

PSA: The official MEGA extension has been compromised and now includes functionality to steal your Monero: https://t.co/vzWwcM9E5k

— Monero || #xmr (@monero) 4 tháng 9, 2018

(PSA: Tiện ích mở rộng MEGA chính thức đã bị hack và hiện sẽ đánh cắp Monero của bạn).

Phần mềm độc hại này hoạt động như thế nào?

Sau khi nhận được các quyền cần thiết được yêu cầu trong khi cài đặt bản cập nhật (xem giải thích của u/gattacus ở trên), phần mềm độc hại sẽ kích hoạt bất cứ khi nào người dùng đăng nhập vào bất kỳ trang web được xác định trước nào. Dựa trên phân tích bộ mã của tiện ích mở rộng bị tấn công này thì các tài khoản tại các trang web sau đã được nhắm mục tiêu:

• MyEtherWallet.com
• MyMonero.com
• IDEX.market
• Amazon.com
• Live.com
• GitHub.com
• Google.com

Theo ZDNet, một khi được kích hoạt, mã độc sẽ thu thập thông tin người dùng bao gồm tên người dùng, mật khẩu, địa chỉ email, khóa cá nhân và dữ liệu phiên khác và gửi nó đến một máy chủ đặt tại Ukraina.

Người có công phát hiện ra vụ hack là một nhà phát triển người Ý và cũng là nhà đóng góp cho Monero với biệt danh SerHack.

Cần lưu ý rằng cả tiện ích mở rộng MEGA cho Firefox cũng như bản thân trang web MEGA đều không bị ảnh hưởng.

Phản ứng của MEGA

Vài giờ sau khi vụ hack được báo cáo lần đầu tiên, MEGA có trụ sở tại New Zealand đã giải quyết sự việc qua một bài đăng trên blog và cũng được đăng trên Twitter:

Security warning for MEGA Chrome Extension users: v3.39.4 was a malicious update from an unknown attacker. This version would request additional permissions. Anyone who accepted them while it was live for 4 hours may have been compromised and should read https://t.co/tW7EDqKIci

— MEGA (@MEGAprivacy) 5 tháng 9, 2018

(Cảnh báo bảo mật cho người dùng tiện ích mở rộng MEGA Chrome: v3.39.4 là bản cập nhật độc hại từ kẻ tấn công không xác định. Phiên bản này sẽ yêu cầu quyền bổ sung. Bất cứ ai chấp nhận các yêu cầu này có thể đã bị xâm nhập và nên đọc mega.nz/blog_47)

Công ty thừa nhận vụ hack và lưu ý rằng 4 giờ sau khi lỗ hổng lần đầu tiên được báo cáo, nó đã cập nhật phần mở rộng bị nhiễm mã độc (v.3.39.4) với phiên bản “sạch” (v.3.39.5), đồng thời tự động cập nhật các cài đặt bị ảnh hưởng.

Google đã loại bỏ tiện ích mở rộng từ Cửa hàng Chrome trực tuyến của mình và hiện tại vô hiệu hóa tiện ích MEGA cho người dùng. Hiện tại, khi nhấp vào liên kết tải xuống cho tiện ích mở rộng này sẽ hiển thị lỗi ‘Không tìm thấy trang 404’.

Một phát ngôn viên của MEGA.nz đã xin lỗi về vụ việc và tuyên bố rằng họ đang “đang điều tra bản chất nguyên nhận tài khoản cửa hàng Chrome của họ bị xâm phạm”.

Công ty cũng bày tỏ sự không hài lòng với các biện pháp bảo mật từ Cửa hàng Chrome trực tuyến của Google, điều mà họ cho rằng có thể đã thực sự hỗ trợ các hacker xâm phạm và chiếm đoạt phần mở rộng:

“Chúng tôi xin lỗi vì sự cố đáng tiếc này. MEGA sử dụng quy trình phát hành nghiêm ngặt với việc đánh giá bộ mã từ nhiều bên, quy trình xây dựng mạnh mẽ và chữ ký mã hóa.

Thật không may, Google đã quyết định không cho phép chữ ký của nhà xuất bản trên tiện ích mở rộng của Chrome và hiện chỉ dựa vào việc ký tự động sau khi tải lên cửa hàng Chrome trực tuyến. Điều này loại bỏ rào cản quan trọng đối với việc xâm nhập từ bên ngoài. MEGAsync và tiện ích mở rộng trên Firefox của chúng tôi được ký và lưu trữ bởi chúng tôi và do đó có thể không phải là nạn nhân của vụ tấn công này. Mặc dù các ứng dụng dành cho thiết bị di động của chúng tôi được Apple/Google/Microsoft lưu trữ nhưng chúng được ký bởi chúng tôi và do đó cũng không bị ảnh hưởng”.

Ngay cả khi bạn không nghĩ rằng bạn đã bị ảnh hưởng bởi hack, MEGA đề xuất rằng tất cả người dùng nên đặt lại mật khẩu của mình để đảm bảo các dịch vụ bị ảnh hưởng. Chúng tôi cũng khuyên người dùng tiền mã hóa chuyển tiền của họ sang tài khoản mới với các chìa khóa riêng tư mới.

[Cảnh báo] Người Việt giết người Việt – Hackers đang phát tán Virus như WannaCry để đào Tiền Monero (XRM) bằng SMB tại Việt Nam

Theo Tapchibitcoin.vn