Công bố chi tiết 108 tiện ích mở rộng trên Chrome chèn mã độc
Các chuyên gia an ninh mạng vừa công bố 108 tiện ích mở rộng (extension) có chèn mã độc trên trình duyệt Google Chrome.
Mục tiêu của mạng lưới này là đánh cắp dữ liệu người dùng, chiếm đoạt phiên đăng nhập Telegram và âm thầm chèn mã độc vào các trang web.
Theo báo cáo đầu tiên từ Hacker News, chiến dịch tấn công này đã thu hút khoảng 20.000 lượt tải xuống tích lũy trên nền tảng Chrome Web Store. Sự việc phơi bày những lỗ hổng nghiêm trọng trong việc kiểm duyệt các công cụ bổ trợ, đồng thời đặt ra yêu cầu cấp bách về việc rà soát lại an toàn thông tin cá nhân trên không gian mạng.
Thủ đoạn chèn mã độc trong tiện ích mở rộng để đánh cắp dữ liệu Google và Telegram
Theo báo cáo phân tích chuyên sâu từ công ty bảo mật Socket, mạng lưới 108 tiện ích mở rộng này hoạt động dưới vỏ bọc của 5 nhà phát hành hoàn toàn khác biệt nhằm che giấu dấu vết. Tuy nhiên, toàn bộ hệ thống lại bí mật chia sẻ chung một cơ sở hạ tầng máy chủ điều khiển và kiểm soát (C2) duy nhất.
Các nhà nghiên cứu phát hiện ra rằng, dù được ngụy trang khéo léo dưới dạng các công cụ hữu ích như ứng dụng hỗ trợ nhắn tin Telegram, công cụ dịch thuật văn bản hay thậm chí là các trò chơi giải trí, những tiện ích này lại liên tục thực thi các tập lệnh độc hại ẩn sâu bên trong hệ thống nền.
Chuyên gia bảo mật Kush Pandya của Socket giải thích rằng toàn bộ 108 công cụ này đều có chung một nhiệm vụ là thu thập thông tin đăng nhập, danh tính người dùng và dữ liệu duyệt web, sau đó chuyển hướng tất cả về các máy chủ do cùng một toán tin tặc quản lý.
Đi sâu vào cấu trúc mã độc, Socket chỉ ra rằng có 54 tiện ích được thiết kế chuyên biệt để nhắm mục tiêu vào hệ thống tài khoản Google. Ngay tại khoảnh khắc người dùng thực hiện thao tác đăng nhập, các công cụ này sẽ khai thác giao thức OAuth2 để thu thập các chi tiết cá nhân nhạy cảm như địa chỉ email và hình ảnh đại diện.
Cùng lúc đó, 45 tiện ích khác lại chứa một cổng hậu (backdoor) cực kỳ nguy hiểm. Cổng hậu này có khả năng ép trình duyệt tự động mở các đường dẫn URL lạ do máy chủ của tin tặc chỉ định ngay khi máy tính khởi động, quá trình này diễn ra hoàn toàn im lặng mà nạn nhân không hề hay biết.
Mức độ nguy hiểm đạt đến đỉnh điểm với một tiện ích mang tên "Telegram Multi-account". Được đánh giá là công cụ độc hại nhất trong toàn bộ chiến dịch, phần mềm này nhắm trực tiếp vào người dùng Telegram. Nó hoạt động bằng cách bí mật trích xuất các mã xác thực (authentication token) của phiên bản Telegram Web đang hoạt động và gửi toàn bộ dữ liệu này về máy chủ từ xa với chu kỳ 15 giây một lần.
Các nhà nghiên cứu cảnh báo mức độ nghiêm trọng của thủ đoạn này, bởi nó cho phép tin tặc chiếm quyền kiểm soát toàn bộ tài khoản mục tiêu mà hoàn toàn không cần đến mật khẩu hay mã xác thực hai yếu tố.
Thêm vào đó, 5 tiện ích trong mạng lưới này còn lợi dụng giao diện lập trình ứng dụng declarativeNetRequest của Chrome để lột bỏ toàn bộ các lớp bảo mật tiêu chuẩn từ trang web đích trước khi trang đó kịp tải xuống, khiến hệ thống phòng vệ của trình duyệt trở nên vô dụng.
Các biện pháp khẩn cấp để tự bảo vệ an toàn thông tin
Trước mức độ đe dọa nghiêm trọng từ mạng lưới mã độc này, các chuyên gia an ninh mạng tại Socket đã đưa ra những hướng dẫn xử lý khẩn cấp dành cho người dùng có nguy cơ bị ảnh hưởng. Thay vì hoảng loạn, người dùng cần lập tức thực hiện một quy trình kiểm tra và làm sạch hệ thống trình duyệt web của mình.
Thao tác đầu tiên và quan trọng nhất là rà soát lại toàn bộ danh sách các tiện ích mở rộng đang được cài đặt trên trình duyệt. Mọi phần mềm đáng ngờ hoặc nằm trong danh sách 108 công cụ độc hại đã được định danh cần phải bị gỡ bỏ tận gốc khỏi trình duyệt ngay lập tức. Việc xóa bỏ này sẽ cắt đứt luồng kết nối giữa máy tính cá nhân và máy chủ điều khiển của tin tặc.
Đối với những người dùng đã từng cài đặt và sử dụng các tiện ích ngụy trang Telegram, nguy cơ bị chiếm đoạt tài khoản là cực kỳ cao. Lời khuyên từ giới bảo mật là cần sử dụng ứng dụng Telegram chính chủ trên điện thoại di động, truy cập vào phần quản lý thiết bị và chủ động đăng xuất toàn bộ các phiên làm việc trên nền web đang hiển thị trạng thái hoạt động. Thao tác này sẽ vô hiệu hóa các mã xác thực mà tin tặc đã đánh cắp trước đó, ngăn chặn chúng tiếp tục truy cập trái phép vào các cuộc trò chuyện cá nhân.
Trong trường hợp người dùng đã sử dụng tài khoản Google để đăng nhập thông qua bất kỳ tiện ích mở rộng nào thuộc mạng lưới trên, hãy mặc định rằng danh tính số của bản thân đã bị lộ lọt. Để khắc phục, người dùng cần truy cập trực tiếp vào phần cài đặt bảo mật của tài khoản Google, rà soát lại danh sách các ứng dụng của bên thứ ba đang được cấp quyền truy cập.
Bất kỳ sự liên kết lạ hoặc không rõ nguồn gốc nào cũng phải được thu hồi quyền truy cập ngay lập tức. Việc duy trì thói quen cảnh giác trước các công cụ hỗ trợ miễn phí trên mạng và thường xuyên kiểm tra các thiết bị được cấp quyền là lớp phòng ngự vững chắc nhất giúp người dùng an toàn vượt qua các chiến dịch tấn công mạng ngày càng tinh vi.
Danh sách cụ thể
| Telegram Multi-account |
| Web Client for Telegram - Teleside |
| YouSide - Youtube Sidebar |
| Web Client for Youtube - SideYou |
| Web Client for TikTok |
| Text Translation |
| Page Locker |
| Page Auto Refresh |
| Web Client for Rugby Rush - SideGame |
| Formula Rush Racing Game |
| Piggy Prizes - Slot Machine |
| Slot Arabian |
| Frogtastic |
| Black Beard Slot Machine |
| Indian - Slot Machine |
| Mahjong Deluxe |
| Crazy Freekick |
| Slot Car Racing |
| Clear Cache Plus |
| Galactica Delux - Slot Machine |
| Speed Test for Chrome - WiFi SpeedTest |
| Game SkySpeedster |
| Master Chess |
| Hockey Shootout |
| Odds Of The Gods - Slot Machine |
| Billiards Pro |
| Three Card Poker |
| Donuts - Slot Machine |
| Archer - Slot Machine |
| Rugby Rush |
| Bingo |
| Web Client for game Cricket Batter Challenge |
| Slot Machine Zeus Treasures |
| Horse Racing |
| Aztec - Slot Machine |
| Straight 4 |
| Slot The Gold Pot |
| American Roulette Royale |
| Asia Slot |
| Web Client for game Drive Your Car |
| Jurassic Giants - Slot Machine |
| Street Basketball |
| Tarot Side Panel |
| Dragon Slayer - Slot Machine |
| Best Blackjack |
| Book Of Magic - Slot Machine |
| Snake - Slot Machine |
| Dice King - Classic Craps And Roll Game |
| Slot Ramses |
| Battleship War |
| Gold Miner 2 |
| Greyhound Racing - Dog Race Simulator |
| Hercules: Sports Legend |
| Flicking Soccer |
| Voodoo Magic - Slot Machine |
| Web Client for Hockey Shootout - SideGame |
| MASTER CHECKERS |
| Watercraft Rush |
| Car Rush |
| Video Poker Deuces Wild |
| Slot Machine Ultimate Soccer |
| Christmas Eve - Slot Machine |
| Columbus Voyage - Slot Machine |
| High or Low Casino Game |
| Goalkeeper Challenge |
| Tropical Beach - Slot Machine |
| BlackJack 3D |
| Web Client for game Classic Bowling |
| Raging Zeus Mines |
| Classic Backgammon |
| Slot Machine The Fruits |
| Baccarat |
| Mini Golf World |
| Gold Rush - Slot Machine |
| Pirat Slot |
| 40 Imperial Crown - Slot Machine |
| 3D Soccer Slot Machine |
| Premium Horse Racing |
| Tanks Game |
| Caribbean Stud Poker |
| Wild Buffalo - Slot Machine |
| Aqua - Slot Machine |
| Game Crypto Merge |
| Sherwood Forest - Slot Machine |
| Web Client for game Fatboy Dream |
| Lone Star Jackpots - Slot Machine |
| Hidden Kitty Game |
| Keno |
| Jokers Bonanza - Slot Machine |
| Penalty Kicks |
| Pai Gow Poker |
| Metal Calculator |
| Farm - Slot Machine |
| Rail Maze Puzzle |
| RED DOG CARD GAME |
| Coin Miner 2 |
| Black Ninja - Slot Machine |
| Pyramid Solitaire |
| Chrome Client for Downhill Ski - SideGame |
| Slot Machine Mr Chicken |
| Web Client for French Roulette - SideGame |
| 3D Roulette Casino Game |
| Slot Machine Space Adventure |
| Whack 'em All |
| Video Poker Jacks or Better |
| Swimming Pro |
| InterAlt |
| Gold of Egypt - Slot Machine |
