-
09/04/2020
-
99
-
813 bài viết
Hơn 40 tiện ích Chrome giả mạo thương hiệu lớn, đánh cắp dữ liệu người dùng
Hơn 40 tiện ích Chrome độc hại ngụy trang dưới các thương hiệu nổi tiếng như Fortinet, YouTube, Calendly và các tiền điện tử như DeBank đã được phát hiện, đang đánh cắp dữ liệu nhạy cảm của người dùng.
Chúng giả mạo, bắt chước các thương hiệu được sử dụng rộng rãi như FortiVPN của Fortinet, DeepSeek AI, Calendly, nhiều ứng dụng trợ giúp YouTube và các tiện ích tiền điện tử như DeBank, cùng nhiều ứng dụng khác. Những kẻ tấn công áp dụng các chiến lược lừa đảo đa dạng.
Được xác định là thành phần của ít nhất ba chiến dịch lừa đảo được phối hợp, đang tích cực đánh cắp thông tin nhạy cảm từ người dùng nhẹ dạ cả tin bằng cách ngụy trang thành các thương hiệu phổ biến, hợp pháp. Chúng còn hoạt động kể cả sau khi bị xóa khỏi Chrome Store, vì các cài đặt hiện tại vẫn tồn tại trong trình duyệt của người dùng trừ khi được gỡ cài đặt thủ công.
Các tiện ích này sử dụng nội dung AI tự động để mở rộng quy mô, bị mạo danh các thương hiệu chính thống qua tên miền giả mạo và yêu cầu quyền truy cập quá mức, cho phép kẻ tấn công liên tục truy cập vào các phiên trình duyệt. Sau khi được cài đặt, chúng có thể thu thập mã thông báo xác thực, dữ liệu cá nhân và thông tin nhạy cảm của công ty, đồng thời cho phép kẻ tấn công mạo danh người dùng hoặc xâm phạm mạng nội bộ.
(Ngụy trang thương hiệu)
Họ đăng ký tên miền rất giống với tên của các thương hiệu giả mạo (ví dụ: “calendlydaily[.]world” và “calendly-director[.]com”) và cung cấp địa chỉ liên hệ của nhà xuất bản bằng các định dạng thuyết phục như “support@[malicious-domain]”, tạo thêm vẻ hợp pháp.
Một trong những tính năng nổi bật nhất của chiến dịch này là việc sử dụng nội dung do AI tạo ra để tạo ra các trang mở rộng có cấu trúc, định dạng và ngôn ngữ quảng cáo gần như giống hệt nhau. Cho phép kẻ tấn công mở rộng quy mô hoạt động một cách nhanh chóng, triển khai hàng chục tiện ích mở rộng độc đáo nhưng được ngụy trang tương tự nhau với nỗ lực tối thiểu của con người.
Các chuyên gia nhấn mạnh cần tăng cường các biện pháp phòng thủ chủ động và nhiều lớp. Nên cân nhắc thực hiện luôn các bước sau:
Chúng giả mạo, bắt chước các thương hiệu được sử dụng rộng rãi như FortiVPN của Fortinet, DeepSeek AI, Calendly, nhiều ứng dụng trợ giúp YouTube và các tiện ích tiền điện tử như DeBank, cùng nhiều ứng dụng khác. Những kẻ tấn công áp dụng các chiến lược lừa đảo đa dạng.
Được xác định là thành phần của ít nhất ba chiến dịch lừa đảo được phối hợp, đang tích cực đánh cắp thông tin nhạy cảm từ người dùng nhẹ dạ cả tin bằng cách ngụy trang thành các thương hiệu phổ biến, hợp pháp. Chúng còn hoạt động kể cả sau khi bị xóa khỏi Chrome Store, vì các cài đặt hiện tại vẫn tồn tại trong trình duyệt của người dùng trừ khi được gỡ cài đặt thủ công.
Các tiện ích này sử dụng nội dung AI tự động để mở rộng quy mô, bị mạo danh các thương hiệu chính thống qua tên miền giả mạo và yêu cầu quyền truy cập quá mức, cho phép kẻ tấn công liên tục truy cập vào các phiên trình duyệt. Sau khi được cài đặt, chúng có thể thu thập mã thông báo xác thực, dữ liệu cá nhân và thông tin nhạy cảm của công ty, đồng thời cho phép kẻ tấn công mạo danh người dùng hoặc xâm phạm mạng nội bộ.
(Ngụy trang thương hiệu)
Họ đăng ký tên miền rất giống với tên của các thương hiệu giả mạo (ví dụ: “calendlydaily[.]world” và “calendly-director[.]com”) và cung cấp địa chỉ liên hệ của nhà xuất bản bằng các định dạng thuyết phục như “support@[malicious-domain]”, tạo thêm vẻ hợp pháp.
Một trong những tính năng nổi bật nhất của chiến dịch này là việc sử dụng nội dung do AI tạo ra để tạo ra các trang mở rộng có cấu trúc, định dạng và ngôn ngữ quảng cáo gần như giống hệt nhau. Cho phép kẻ tấn công mở rộng quy mô hoạt động một cách nhanh chóng, triển khai hàng chục tiện ích mở rộng độc đáo nhưng được ngụy trang tương tự nhau với nỗ lực tối thiểu của con người.
Các chuyên gia nhấn mạnh cần tăng cường các biện pháp phòng thủ chủ động và nhiều lớp. Nên cân nhắc thực hiện luôn các bước sau:
- Thiết lập chính sách quản lý tiện ích nghiêm ngặt
- Kiểm tra định kỳ tiện ích đã cài
- Gỡ bỏ ngay lập tức các tiện ích đáng ngờ hoặc bị phát hiện độc hại
Extension ID | Extension Name | Publisher Domain |
|---|---|---|
| ccollcihnnpcbjcgcjfmabegkpbehnip | FortiVPN | forti-vpn[.]com |
| aeibljandkelbcaaemkdnbaacppjdmom | Manus AI | Free AI Assistant | manusai[.]sbs |
| fcfmhlijjmckglejcgdclfneafoehafm | Site Stats | sitestats[.]thế giới |
| abbngaojehjekanfdipifimgmppiojpl | Clothing Brand Name Generator | clothingbrandnamegenerator[.]ứng dụng |
| dohmiglipinohflhapdagfgbldhmoojl | DeBank – Digital Assets | winchester[.]abram37 |
| acmiibcdcmaghndcahglamnhnlmcmlng | AML Sector | Free Crypto AML Checker | amlsector[.]com |
| mipophmjfhpecleajkijfifmffcjdiac | Crypto Whales Vision | cryptowhalesvision[.]thế giới |
| cknmibbkfbephciofemdjndbgebggnkc | Calendly Daily | Free Meeting Scheduling Software | calendly-daily[.]com |
| gmigkpkjegnpmjpmnmgnkhmoinpgdnfc | Calendly Docket | Free Meeting Scheduling Software | calendly-docket[.]com |
| ahgccenjociolkbpgbfibmfclcfnlaei | CreativeHunter – Free tool for Facebook | creativehunter[.]thế giới |
Theo Cyber Press