-
09/04/2020
-
128
-
1.808 bài viết
Hơn 100 tiện ích Chrome độc hại âm thầm đánh cắp dữ liệu người dùng
Theo phát hiện, hơn 100 extension trên Google Chrome đã bị phát hiện âm thầm thu thập dữ liệu người dùng, chiếm quyền phiên đăng nhập và chèn mã độc vào mọi trang web truy cập. Đáng chú ý, các tiện ích này vẫn tồn tại công khai trên Chrome Web Store và đã thu hút hàng chục nghìn lượt cài đặt.
Phát hiện này được công bố bởi công ty bảo mật Socket, với phân tích từ nhà nghiên cứu Kush Pandya. Theo đó, tổng cộng 108 tiện ích Chrome được phát hiện có hành vi độc hại, dù được phát hành dưới nhiều tên nhà phát triển khác nhau như Yana Project, GameGen hay Rodeo Games.
Điểm chung của toàn bộ các extension này là đều kết nối về cùng một hạ tầng điều khiển (C2), cho phép kẻ tấn công thu thập dữ liệu và điều khiển trình duyệt của nạn nhân từ xa. Tổng số lượt cài đặt được ghi nhận vào khoảng 20.000, cho thấy phạm vi ảnh hưởng không hề nhỏ. Vấn đề nằm ở việc các tiện ích độc hại đã vượt qua kiểm duyệt và được phân phối công khai, lợi dụng niềm tin của người dùng đối với hệ sinh thái tiện ích trình duyệt.
Về cơ chế hoạt động, các extension này được thiết kế để ngụy trang dưới nhiều dạng ứng dụng quen thuộc như công cụ hỗ trợ Telegram, tiện ích cải thiện trải nghiệm YouTube, TikTok, công cụ dịch thuật hoặc thậm chí là game giải trí. Tuy nhiên, phía sau giao diện tưởng chừng vô hại là các đoạn mã độc hoạt động ngầm.
Sau khi được cài đặt, tiện ích sẽ yêu cầu quyền truy cập sâu vào trình duyệt, cho phép nó can thiệp vào mọi trang web người dùng truy cập. Từ đó, mã độc có thể chèn script tùy ý, hiển thị quảng cáo, hoặc chuyển hướng người dùng đến các trang web do kẻ tấn công kiểm soát.
Một số extension còn được tích hợp khả năng đánh cắp dữ liệu ở mức nghiêm trọng. Chẳng hạn, nhiều tiện ích sử dụng cơ chế OAuth2 để thu thập thông tin tài khoản Google, bao gồm email, tên người dùng và ID tài khoản. Các tiện ích khác lại tập trung vào việc chiếm quyền phiên đăng nhập của Telegram bằng cách trích xuất token xác thực và gửi về máy chủ điều khiển.
Đáng chú ý, một số extension còn có thể ghi đè dữ liệu phiên làm việc trên trình duyệt, cho phép kẻ tấn công “chiếm quyền” phiên Telegram của nạn nhân mà không cần mật khẩu. Điều này đồng nghĩa với việc tin tặc có thể đọc tin nhắn, gửi nội dung hoặc thực hiện các hành vi giả mạo.
Ngoài ra, các tiện ích này còn có khả năng vô hiệu hóa các cơ chế bảo mật trên những nền tảng lớn như YouTube hoặc TikTok, từ đó chèn nội dung quảng cáo hoặc các lớp phủ mang tính lừa đảo. Một số khác thậm chí còn gửi dữ liệu phiên Telegram về máy chủ mỗi 15 giây, cho thấy mức độ theo dõi liên tục và xâm nhập sâu vào quyền riêng tư người dùng.
Nguyên nhân khiến chiến dịch này có thể hoạt động là do người dùng thường chủ quan khi cài đặt extension, đồng thời cấp quá nhiều quyền mà không kiểm tra kỹ. Bên cạnh đó, các tiện ích này được thiết kế để sử dụng chung một hệ thống backend, giúp kẻ tấn công dễ dàng quản lý và mở rộng quy mô chiến dịch.
Rủi ro và hậu quả
Việc cài đặt các tiện ích độc hại này có thể dẫn đến nhiều hậu quả nghiêm trọng. Người dùng có nguy cơ bị đánh cắp thông tin cá nhân, tài khoản Google hoặc các phiên đăng nhập quan trọng. Trong trường hợp bị chiếm quyền Telegram, toàn bộ nội dung trao đổi có thể bị lộ hoặc bị lợi dụng cho các mục đích lừa đảo.
Không dừng lại ở đó, việc bị chèn mã JavaScript vào mọi trang web còn có thể khiến người dùng trở thành mục tiêu của các cuộc tấn công sâu hơn, như phát tán mã độc hoặc đánh cắp thông tin tài chính.
Không dừng lại ở đó, việc bị chèn mã JavaScript vào mọi trang web còn có thể khiến người dùng trở thành mục tiêu của các cuộc tấn công sâu hơn, như phát tán mã độc hoặc đánh cắp thông tin tài chính.
Khuyến nghị và biện pháp phòng tránh
Trước mối đe dọa này, các chuyên gia khuyến cáo người dùng cần đặc biệt thận trọng khi cài đặt tiện ích trình duyệt, kể cả từ cửa hàng chính thức. Những extension không rõ nguồn gốc, ít đánh giá hoặc yêu cầu quyền truy cập quá mức cần được xem xét kỹ lưỡng trước khi sử dụng.
Người dùng đã cài đặt các tiện ích nghi ngờ cần gỡ bỏ ngay lập tức và tiến hành kiểm tra lại toàn bộ tài khoản liên quan. Đối với Telegram, nên đăng xuất khỏi tất cả các phiên đăng nhập từ thiết bị khác thông qua ứng dụng di động để đảm bảo an toàn.
Ngoài ra, việc thường xuyên rà soát danh sách extension, hạn chế cấp quyền không cần thiết và sử dụng các giải pháp bảo mật bổ sung sẽ giúp giảm thiểu nguy cơ bị tấn công.
Người dùng đã cài đặt các tiện ích nghi ngờ cần gỡ bỏ ngay lập tức và tiến hành kiểm tra lại toàn bộ tài khoản liên quan. Đối với Telegram, nên đăng xuất khỏi tất cả các phiên đăng nhập từ thiết bị khác thông qua ứng dụng di động để đảm bảo an toàn.
Ngoài ra, việc thường xuyên rà soát danh sách extension, hạn chế cấp quyền không cần thiết và sử dụng các giải pháp bảo mật bổ sung sẽ giúp giảm thiểu nguy cơ bị tấn công.