วันพุธที่ 8 พฤษภาคม พ.ศ. 2556

โทรจันแก้ไข Firefox ขโมย Password


   นักวิจัยระบบรักษาความปลอดภัยจาก Webroot บริษัทผู้พัฒนาซอฟต์แวร์แอนตี้ไวรัสเปิดเผยว่า พบการขโมยข้อมูลโดยมัลแวร์ประเภท"โทรจัน" (Trojan) ซึ่งใช้วิธีแก้ไขไฟล์ๆ หนึ่งใน Firefox เพื่อให้บราวเซอร์ทำการจัดเก็บพาสเวิร์ดโดยอัตโนมัติ

   ภัยคุกคามล่าสุดที่ตรวจพบโดย Webroot จะมีชื่อเรียกว่า Trojan-PWS-Nslogm ซึ่งสามารถขโมยยูสเซอร์เนม และพาสเวิร์ดได้จากทั้ง Internet Explorer และ Firefox โดยที่ดีฟอลต์ของการทำงาน เมื่อมีการตรวจพบว่า มีการล็อกอินข้อมูลสำคัญในบราวเซอร์ Firefox ผ่านแบบฟอร์มออนไลน์บนหน้าเว็บ บราวเซอร์จะเสนอทางเลือกให้ผู้ใช้ตัดสินใจว่าจะจัดการอย่างไรกับข้อมูลที่ใช้ล็อกอิน ซึ่งได้แก่ ให้บราวเซอร์จำ (Remember) ข้อมูลนี้ไว้ หรือไม่ต้องจำอีกเลยสำหรับเว็บไซต์นี้ (Never for This Site) และ "ไม่ต้องจำเดี่ยวนี้" (Not Now) หากผู้ใช้เลือก "Remember" บราวเซอร์ก็จะจัดเก็บ Username และ Password ไว้ในฐานข้อมูลที่อยู่ในเครื่อง

   เนื่องจากการขโมยข้อมูลดังกล่าวจากฐานข้อมูลในเครื่องง่ายกว่าการเข้าไปแทรกในขั้นตอนในระหว่างที่บราวเซอร์ประมวลผล และขโมยข้อมูลของผู้ใช้ในขณะที่กำลังคลิกปุ่มSubmit ของแบบฟอร์มออนไลน์ จากจุดนี้เอง ผู้พัฒนาโทรจันใช้วิธีตัดตอนด้วยการบังคับให้ Firefox จัดการจดจำพาสเวิร์ดทั้งหมดโดยไม่ต้องร้องถามคำยืนยันจากผู้ใช้เลย ในการนี้ โทรจันจะใช้วิธีแก้ไขโค้ดการทำงานของไฟล์ nsLoginManagerPrompter.js ของ Firefox ให้จัดเก็บข้อมูลโดยอัตโนมัติ (ไม่มีการถามผู้ใช้) ก่อนจะขโมยข้อมูลเหล่านั้นจากรีจิสทรี Protected Storage ซึ่งถูกใช้จัดเก็บพาสเวิร์ดโดย IE ด้วย ทั้งนี้จะมีการส่งข้อมูลที่ขโมยได้ในทุกๆ นาที


   สำหรับตัวโปรแกรมขโมยพาสเวิร์ดจะติดตั้งตัวเองเข้าไปในโฟลเดอร์ c:\windows\system32 เป็นไฟล์ที่มีชื่อว่า Kernel.exe ข้อมูลที่ถูกดักจับได้จะถูกส่งออกไปโดย ActiveX Control ที่มีชื่อว่า msinet.ocx ผู้เชี่ยวชาญกล่าวว่า วิธีกำจัดโทรจันที่ง่ายที่สุด และปลอดภัยที่สุดก็คือ การเรียกคืนไฟล์ nsLoginManagerPrompter.js ที่ถูกแก้ไขด้วยการดาวน์โหลด และติดตั้ง Firefox ทับบนเวอร์ชันที่ใช้อยู่ในขณะนั้น


ข่าวไอที ทิป-เทคนิค คอมพิวเตอร์


Share

Twitter Facebook Delicious Digg Stumbleupon Favorites More