Hơn 20 triệu người dùng tải tiện ích chặn quảng cáo chứa mã độc từ Chrome Store

[WhiteHat News #ID:2017]

Nếu bạn đã cài đặt bất kỳ tiện ích chặn quảng cáo nào được đề cập dưới đây trong trình duyệt Chrome của mình, có thể bạn đã bị tấn công.

Đã phát hiện được năm tiện ích chặn quảng cáo độc hại trong Store của Google Chrome và có ít nhất 20 triệu người dùng đã cài đặt các tiện ích này.

Các tiện ích mở rộng trình duyệt chứa mã độc không phải là điều mới lạ. Chúng thường có quyền truy cập vào mọi thứ khi người dùng online và có thể cho phép tác giả tiện ích độc hại ăn cắp tất cả các thông tin khi nạn nhân nhập vào bất kỳ trang web nào mà họ truy cập, bao gồm mật khẩu, lịch sử duyệt web và chi tiết thẻ tín dụng.

Được phát hiện bởi Andrey Meshkov, đồng sáng lập Adguard, 5 tiện ích mở rộng nguy hiểm này là phiên bản ‘nhái’ của một số trình chặn quảng cáo nổi tiếng hợp pháp.

Những kẻ tạo ra các tiện ích mở rộng này cũng sử dụng các từ khóa phổ biến để tên và mô tả của tiện ích nằm ở vị trí đầu tiên trong kết quả tìm kiếm, khiến có nhiều người dùng bị lừa tải xuống.

Ngày 17/4, Meshkov báo cáo phát hiện của mình tới Google và ngay lập tức hãng này đã xóa tất cả các tiện ích chặn quảng cáo chứa mã độc được đề cập sau đây khỏi Chrome Store:

• AdRemover cho Google Chrome ™ (hơn 10 triệu người dùng)
• uBlock Plus (hơn 8 triệu người dùng)
• [Fake] Adblock Pro (hơn 2 triệu người dùng)
• HD cho YouTube ™ (hơn 400.000 người dùng)
• Webutation (hơn 30.000 người dùng)

Meshkov đã tải tiện ích 'AdRemover' cho Chrome và sau khi phân tích, chuyên gia này phát hiện mã độc được che giấu bên trong phiên bản sửa đổi của jQuery, một thư viện JavaScript nổi tiếng, gửi thông tin về một số trang web mà người dùng truy cập tới một máy chủ từ xa.

Tiện ích độc hại này sau đó nhận lệnh từ máy chủ từ xa, được thực thi trong 'trang nền' của tiện ích mở rộng và có thể thay đổi hành vi trình duyệt của nạn nhân theo bất kỳ cách nào.

Để tránh bị phát hiện, các lệnh gửi từ máy chủ từ xa ẩn bên trong một hình ảnh trông có vẻ vô hại.

Chuyên gia Meshkov cho biết: "Những lệnh này là các script được thực thi trong ngữ cảnh đặc quyền (trang nền của tiện ích mở rộng) và có thể thay đổi hành vi trình duyệt của bạn theo bất kỳ cách nào".

"Về cơ bản, đây là một botnet gồm các trình duyệt bị lây nhiễm các tiện ích mở rộng Adblock giả mạo. Trình duyệt này sẽ làm bất cứ lệnh gì từ người điều khiển máy chủ trung tâm".

Chuyên gia này cũng phân tích các tiện ích mở rộng khác trên Chrome Store và phát hiện thêm bốn tiện ích mở rộng khác cũng sử dụng chiến thuật tương tự.

Vì mở rộng trình duyệt có quyền truy cập vào tất cả các trang web bạn truy cập, trên thực tế nó có thể làm bất cứ điều gì.

Vì vậy, bạn nên cài đặt các tiện ích càng ít càng tốt và chỉ cài đặt từ các công ty bạn tin tưởng.

Theo Hackernews​