นักวิจัยระบบรักษาความปลอดภัยจาก Webroot
บริษัทผู้พัฒนาซอฟต์แวร์แอนตี้ไวรัสเปิดเผยว่า
พบการขโมยข้อมูลโดยมัลแวร์ประเภท"โทรจัน" (Trojan) ซึ่งใช้วิธีแก้ไขไฟล์ๆ
หนึ่งใน Firefox เพื่อให้บราวเซอร์ทำการจัดเก็บพาสเวิร์ดโดยอัตโนมัติ
ภัยคุกคามล่าสุดที่ตรวจพบโดย Webroot จะมีชื่อเรียกว่า Trojan-PWS-Nslogm
ซึ่งสามารถขโมยยูสเซอร์เนม และพาสเวิร์ดได้จากทั้ง Internet Explorer และ
Firefox โดยที่ดีฟอลต์ของการทำงาน เมื่อมีการตรวจพบว่า
มีการล็อกอินข้อมูลสำคัญในบราวเซอร์ Firefox
ผ่านแบบฟอร์มออนไลน์บนหน้าเว็บ บราวเซอร์จะเสนอทางเลือกให้ผู้ใช้ตัดสินใจ
ว่าจะจัดการอย่างไรกับข้อมูลที่ใช้ล็อกอิน ซึ่งได้แก่ ให้บราวเซอร์จำ
(Remember) ข้อมูลนี้ไว้ หรือไม่ต้องจำอีกเลยสำหรับเว็บไซต์ตี้ (Never for
This Site) และ "ไม่ต้องจำเดี่ยวนี้" (Not Now) หากผู้ใช้เลือก "Remember"
บราวเซอร์ก็จะจัดเก็บ Username และ Password
ไว้ในฐานข้อมูลที่อยู่ในเครื่อง
เนื่อง
จากการขโมยข้อมูลดังกล่าวจากฐานข้อมูลในเครื่องง่ายกว่าการเข้าไปแทรกในขั้น
ตอนในระหว่างที่บราวเซอร์ประมวลผล
และขโมยข้อมูลของผู้ใช้ในขณะที่กำลังคลิกปุ่มSubmit ของแบบฟอร์มออนไลน์
จากจุดนี้เอง ผู้พัฒนาโทรจันใช้วิธีตัดตอนด้วยการบังคับให้ Firefox
จัดการจดจำพาสเวิร์ดทั้งหมดโดยไม่ต้องร้องถามคำยืนยันจากผู้ใช้เลย
ในการนี้ โทรจันจะใช้วิธีแก้้ไขโค้ดการทำงานของไฟล์
nsLoginManagerPrompter.js ของ Firefox ให้จัดเก็บข้อมูลโดยอัตโนมัติ
(ไม่มีการถามผู้ใช้) ก่อนจะขโมยข้อมูลเหล่านั้นจากรีจิสทรี Protected
Storage ซึ่งถูกใช้จัดเก็บพาสเวิร์ดโดย IE ด้วย
ทั้งนี้จะมีการส่งข้อมูลที่ขโมยได้ในทุกๆ นาที
สำหรับ
ตัวโปรแกรมขโมยพาสเวิร์ดจะติดตั้งตัวเองเข้าไปในโฟลเดอร์
c:windowssystem32 เป็นไฟล์ที่มีชื่อว่า Kernel.exe
ข้อมูลที่ถูกดักจับได้จะถูกส่งออกไปโดย ActiveX Control ที่มีชื่อว่า
msinet.ocx ผู้เชี่ยวชาญกล่าวว่า วิธีกำจัดโทรจันที่ง่ายที่สุด
และปลอดภัยที่สุดก็คือ การเรียกคืนไฟล์ nsLoginManagerPrompter.js
ที่ถูกแก้ไขด้วยการดาวน์โหลด และติดตั้ง Firefox
ทับบนเวอร์ชันที่ใช้อยู่ในขณะนั้น
ที่มา External Link