Theo Forbes, các nhà nghiên cứu thuộc Varonis Threat Labs vừa xác nhận một mối đe dọa an ninh mạng mới nhằm vào người dùng của những trình duyệt phổ biến nhất hiện nay, gồm Google Chrome, Microsoft Edge và Mozilla Firefox.
Mối đe dọa này đặc biệt nguy hiểm khi tích hợp nhiều chức năng trong cùng một nền tảng, bao gồm đánh cắp mật khẩu, chiếm đoạt cookie phiên để vượt qua xác thực hai yếu tố (2FA), cũng như thu thập dữ liệu thẻ thanh toán.
Theo báo cáo, nền tảng đánh cắp thông tin mang tên Storm đang được cung cấp dưới dạng dịch vụ cho thuê trong giới tội phạm mạng, nhắm trực tiếp vào người dùng các trình duyệt trên.
Cảnh báo được đưa ra trong bối cảnh hơn ba tỷ người dùng Chrome vừa được thông báo về một lỗ hổng bảo mật zero-day mới, khiến nguy cơ mất an toàn thông tin tiếp tục gia tăng trên diện rộng.
Ảnh minh họa
Ông Daniel Kelley, chuyên gia nghiên cứu bảo mật cấp cao của Varonis, cho biết Storm có khả năng vượt qua các công cụ bảo mật điểm cuối, giải mã thông tin đăng nhập trình duyệt từ xa và cho phép kẻ tấn công khôi phục các phiên làm việc đã bị chiếm đoạt một cách âm thầm. Điều này khiến người dùng gần như không thể phát hiện dấu hiệu bất thường.
Đáng chú ý, bộ công cụ này có chi phí thuê chỉ từ 1.000 USD mỗi tháng - mức giá được đánh giá là tương đối thấp so với khả năng mà nó mang lại. Storm có thể thu thập dữ liệu đăng nhập, cookie phiên và ví tiền điện tử, sau đó gửi về máy chủ của kẻ tấn công để giải mã.
Báo cáo cũng chỉ ra sự thay đổi trong phương thức tấn công. Trước đây, tin tặc thường giải mã dữ liệu ngay trên thiết bị nạn nhân thông qua việc truy cập trực tiếp vào cơ sở dữ liệu trình duyệt. Tuy nhiên, cách làm này ngày càng dễ bị phát hiện khi các công cụ bảo mật nâng cao khả năng giám sát. Đặc biệt, kể từ khi Google triển khai cơ chế mã hóa liên kết ứng dụng trên Chrome 127 vào năm 2024, việc truy cập trái phép vào dữ liệu trình duyệt trở nên khó khăn hơn đáng kể.
Để vượt qua rào cản này, Storm chuyển hướng xử lý dữ liệu sang phía máy chủ, đồng thời hỗ trợ cả trình duyệt nền tảng Chromium và Gecko. Sau khi giải mã thành công, toàn bộ dữ liệu sẽ được đưa vào bảng điều khiển để tội phạm mạng khai thác. Chỉ cần sử dụng mã thông báo làm mới của Google kết hợp với proxy phù hợp, kẻ tấn công có thể khôi phục phiên đăng nhập của nạn nhân mà không cần vượt qua quy trình xác thực hai yếu tố.
Ở cấp độ doanh nghiệp, nguy cơ đặc biệt nghiêm trọng khi chỉ một trình duyệt bị xâm nhập cũng có thể mở đường cho kẻ tấn công tiếp cận các nền tảng SaaS, công cụ nội bộ và hệ thống đám mây. Với người dùng cá nhân, dữ liệu bị đánh cắp đủ để phục vụ các hành vi chiếm đoạt tài khoản, gian lận tài chính và các cuộc tấn công có chủ đích.
Trong bối cảnh này, các chuyên gia khuyến nghị người dùng cần nâng cao cảnh giác trước các hình thức lừa đảo trực tuyến, chỉ tải phần mềm từ nguồn đáng tin cậy, không sử dụng lại mật khẩu cho nhiều dịch vụ và tiếp tục duy trì xác thực hai yếu tố như một lớp bảo vệ quan trọng.
