145 extension Chrome và Microsoft Edge bỗng hóa độc hại, có 4,3 triệu lượt cài
Chiến dịch ShadyPanda kéo dài 7 năm đã lén lút phát tán hàng loạt extension độc hại cho trình duyệt Google Chrome và Microsoft Edge, thu về hơn 4,3 triệu lượt cài đặt.
Các extension này ban đầu trông hoàn toàn bình thường, thậm chí còn có đánh giá tốt và được sử dụng rộng rãi, nhưng sau đó âm thầm biến thành công cụ gián điệp.
Vụ việc được phát hiện bởi công ty an ninh mạng Koi Security (Israel). Theo Koi Security, ShadyPanda đã hoạt động âm thầm 7 năm, qua 4 giai đoạn khác nhau, mỗi giai đoạn lại bổ sung khả năng tấn công mạnh mẽ hơn.
Koi Security là công ty an ninh mạng chuyên phát hiện, phân tích và cảnh báo các mối đe dọa kỹ thuật số, đặc biệt là phần mềm độc hại, lỗ hổng bảo mật và chiến dịch tấn công tinh vi.
Chiến dịch ShadyPanda gồm 145 extension độc hại (20 cho Google Chrome và 125 cho Microsoft Edge) được phát hành trong nhiều năm. Google đã gỡ chúng khỏi Chrome Web Store, nhưng Koi Security cho biết chiến dịch vẫn còn hoạt động trên Microsoft Edge Add-ons, với một tiện ích được hiển thị có tới 3 triệu lượt cài đặt.
Vẫn chưa rõ liệu số lượt cài đặt các extension này có bị thổi phồng thủ công để thu hút người dùng hay không.
Chiến dịch ShadyPanda diễn ra như thế nào?
Dù các extension thuộc chiến dịch ShadyPanda đầu tiên được gửi lên từ năm 2018, nhưng các dấu hiệu độc hại chỉ được ghi nhận từ năm 2023, với một nhóm giả dạng công cụ hình nền và hỗ trợ năng suất.
Theo các nhà nghiên cứu của Koi Security, các extension thực hiện gian lận affiliate bằng cách chèn mã theo dõi của eBay, Booking.com và Amazon vào các liên kết hợp pháp nhằm kiếm tiền từ các giao dịch mua từ người dùng.
Gian lận affiliate là hành vi lừa đảo trong các chương trình tiếp thị liên kết, nhằm kiếm tiền hoa hồng một cách gian lận, không đúng với quy định của nền tảng.
Đầu năm 2024, extension có tên Infinity V+ bắt đầu chiếm quyền tìm kiếm, cho thấy nhóm đứng sau ShadyPanda ngày càng táo bạo.
Koi Security cho biết extension này chuyển hướng truy vấn tìm kiếm sang trovi[.]com, đánh cắp cookie của người dùng gửi tới dergoodting[.]com và gửi các truy vấn tìm kiếm tới các tên miền con của gotocdn.
Năm 2024, năm extension thuộc chiến dịch ShadyPanda, gồm cả ba extension đăng tải từ năm 2018 và 2019, sau khi đã có uy tín tốt đã bị chỉnh sửa để thêm một backdoor (cửa hậu) qua bản cập nhật, cho phép thực thi mã từ xa (RCE).
Một extension đáng chú ý là Clean Master trên Chrome Web Store, có 200.000 lượt cài trước khi bị phát hiện độc hại.
Tổng cộng, các extension chứa cùng loại mã độc này đã thu hút hơn 300.000 lượt cài đặt.
Giai đoạn cuối cùng, vẫn còn tiếp diễn, liên quan đến 5 extension Microsoft Edge được xuất bản bởi tác giả Starlab Technology năm 2023. Tính đến nay, 5 extension này đã tích lũy tổng cộng hơn 4 triệu lượt cài đặt.
Theo các nhà nghiên cứu, các extension này thu thập dữ liệu gián điệp như bên dưới và gửi về 17 tên miền đặt tại Trung Quốc:
- Lịch sử duyệt web.
- Truy vấn tìm kiếm và thao tác gõ phím.
- Nhấp chuột và tọa độ.
- Dữ liệu nhận diện thiết bị.
- Dữ liệu mà trình duyệt lưu lại cho website, gồm cookie (ghi nhớ bạn đã đăng nhập, giỏ hàng, cài đặt), local storage (nơi lưu dữ liệu lâu dài của website), session storage (nơi lưu dữ liệu tạm thời cho từng thẻ).
Koi Security lưu ý rằng các extension này có đủ quyền để triển khai backdoor tương tự Clean Master thông qua cập nhật, dù đến hiện tại chưa ghi nhận hành vi độc hại nâng cấp nào.
Nhóm nhà nghiên cứu của Koi Security cho biết đã liên hệ với Google và Microsoft để báo cáo về các extension này. Google đã gỡ chúng khỏi Chrome Web Store. Song vào thời điểm bài viết, extension WeTab 新标签页 (3 triệu người dùng) và Infinity New Tab Pro (650.000 người dùng) còn tồn tại trên Microsoft Edge Add-ons.
Danh sách đầy đủ 145 ID extension liên quan chiến dịch ShadyPanda do Koi Security báo cáo:
Extension Google Chrome
eagiakjmjnblliacokhcalebgnhellfi
ibiejjpajlfljcgjndbonclhcbdcamai
ogjneocnnllmjcegcfpaamfpbiaaiekh
jbnopeoocgbmnochaadfnhiiimfpbpmf
cdgonefipacceedbkflolomdegncceid
gipnpcencdgljnaecpekokmpgnhgpela
bpgaffohfacaamplbbojgbiicfgedmoi
ineempkjpmbdejmdgienaphomigjjiej
nnnklgkfdfbdijeeglhjfleaoagiagig
Mljmfnkjmcdmongjnnnbbnajjdbojoci
llkncpcdceadgibhbedecmkencokjajg
nmfbniajnpceakchicdhfofoejhgjefb
ijcpbhmpbaafndchbjdjchogaogelnjl
olaahjgjlhoehkpemnfognpgmkbedodk
gnhgdhlkojnlgljamagoigaabdmfhfeg
cihbmmokhmieaidfgamioabhhkggnehm
lehjnmndiohfaphecnjhopgookigekdk
hlcjkaoneihodfmonjnlnnfpdcopgfjk
hmhifpbclhgklaaepgbabgcpfgidkoei
lnlononncfdnhdfmgpkdfoibmfdehfoj
nagbiboibhbjbclhcigklajjdefaiidc
ofkopmlicnffaiiabnmnaajaimmenkjn
ocffbdeldlbilgegmifiakciiicnoaeo
eaokmbopbenbmgegkmoiogmpejlaikea
lhiehjmkpbhhkfapacaiheolgejcifgd
ondhgmkgppbdnogfiglikgpdkmkaiggk
imdgpklnabbkghcbhmkbjbhcomnfdige
Extension Microsoft Edge
bpelnogcookhocnaokfpoeinibimbeff
enkihkfondbngohnmlefmobdgkpmejha
hajlmbnnniemimmaehcefkamdadpjlfa
aadnmeanpbokjjahcnikajejglihibpd
ipnidmjhnoipibbinllilgeohohehabl
fnnigcfbmghcefaboigkhfimeolhhbcp
nlcebdoehkdiojeahkofcfnolkleembf
fhababnomjcnhmobbemagohkldaeicad
nokknhlkpdfppefncfkdebhgfpfilieo
ljmcneongnlaecabgneiippeacdoimaa
onifebiiejdjncjpjnojlebibonmnhog
dbagndmcddecodlmnlcmhheicgkaglpk
fmgfcpjmmapcjlknncjgmbolgaecngfo
kgmlodoegkmpfkbepkfhgeldidodgohd
hegpgapbnfiibpbkanjemgmdpmmlecbc
gkanlgbbnncfafkhlchnadcopcgjkfli
oghgaghnofhhoolfneepjneedejcpiic
fcidgbgogbfdcgijkcfdjcagmhcelpbc
nnceocbiolncfljcmajijmeakcdlffnh
domfmjgbmkckapepjahpedlpdedmckbj
cbkogccidanmoaicgphipbdofakomlak
bmlifknbfonkgphkpmkeoahgbhbdhebh
ghaggkcfafofhcfppignflhlocmcfimd
hfeialplaojonefabmojhobdmghnjkmf
boiciofdokedkpmopjnghpkgdakmcpmb
ibfpbjfnpcgmiggfildbcngccoomddmj
idjhfmgaddmdojcfmhcjnnbhnhbmhipd
jhgfinhjcamijjoikplacnfknpchndgb
cgjgmbppcoolfkbkjhoogdpkboohhgel
afooldonhjnhddgnfahlepchipjennab
fkbcbgffcclobgbombinljckbelhnpif
fpokgjmlcemklhmilomcljolhnbaaajk
hadkldcldaanpomhhllacdmglkoepaed
iedkeilnpbkeecjpmkelnglnjpnacnlh
hjfmkkelabjoojjmjljidocklbibphgl
dhjmmcjnajkpnbnbpagglbbfpbacoffm
cgehahdmoijenmnhinajnojmmlnipckl
fjigdpmfeomndepihcinokhcphdojepm
chmcepembfffejphepoongapnlchjgil
googojfbnbhbbnpfpdnffnklipgifngn
fodcokjckpkfpegbekkiallamhedahjd
igiakpjhacibmaichhgbagdkjmjbnanl
omkjakddaeljdfgekdjebbbiboljnalk
llilhpmmhicmiaoancaafdgganakopfg
nemkiffjklgaooligallbpmhdmmhepll
papedehkgfhnagdiempdbhlgcnioofnd
glfddenhiaacfmhoiebfeljnfkkkmbjb
pkjfghocapckmendmgdmppjccbplccbg
gbcjipmcpedgndgdnfofbhgnkmghoamm
ncapkionddmdmfocnjfcfpnimepibggf
klggeioacnkpdcnapgcoicnblliidmf
klgjbnheihgnmimajhohfcldhfpjnahe
acogeoajdpgplfhidldckbjkkpgeebod
ekndlocgcngbpebppapnpalpjfnkoffh
elckfehnjdbghpoheamjffpdbbogjhie
dmpceopfiajfdnoiebfankfoabfehdpn
gpolcigkhldaighngmmmcjldkkiaonbg
dfakjobhimnibdmkbgpkijoihplhcnil
hbghbdhfibifdgnbpaogepnkekonkdgc
fppchnhginnfabgenhihpncnphhafmac
ghhddclfklljabeodmcejjlhoaaiban
bppelgkcnhfkicolffhlkbdghdnjdkhi
ikgaleggljchgbihlaanjbkekmmgccam
bdhjinjoglaijpffoamhhnhooeimgoap
fjioinpkgmlcioajfnncgldldcnabffe
opncjjhgbllenobgbfjbblhghmdpmpbj
cbijiaccpnkbdpgbmiiipedpepbhioel
fbbmnieefocnacnecccgmedmcbhlkcpm
hmbacpfgehmoloinfmkgkpjoagiogai
paghkadkhiladedijgodgghaajppmpcg
bafbmfpfepdlgnfkgfbobplkkaoakjcl
kcpkoopmfjhdpgjohcbgkbjpmbjmhgoi
jelgelidmodjpmohbapbghdgcpncahki
lfgakdlafdenmaikccbojgcofkkhmolj
hdfknlljfbdfjdjhfgoonpphpigjjjak
kpfbijpdidioaomoecdbfaodhajbcjfl
fckphkcbpgmappcgnfieaacjbknhkhin
lhfdakoonenpbggbeephofdlflloghhi
ljjngehkphcdnnapgciajcdbcpgmpknc
ejfocpkjndmkbloiobcdhkkoeekcpkik
ccdimkoieijdbgdlkfjjfncmihmlpanj
agdlpnhabjfcbeiempefhpgikapcapjb
mddfnhdadbofiifdebeiegecchpkbgdb
alknmfpopohfpdpafdmobclioihdkhjh
hlglicejgohbanllnmnjllajhmnhjjel
iaccapfapbjahnhcmkgjjonlccbhdpjl
ehmnkbambjnodfbjcebjffilahbfjdml
ngbfciefgjgijkkmpalnmhikoojilkob
laholcgeblfbgdhkbiidbpiofdcbpeeo
njoedigapanaggiabjafnaklppphempm
fomlombffdkflbliepgpgcnagolnegjn
jpoofbjomdefajdjcimmaoildecebkjc
nhdiopbebcklbkpfnhipecgfhdhdbfhb
gdnhikbabcflemolpeaaknnieodgpiie
bbdioggpbhhodagchciaeaggdponnhpa
ikajognfijokhbgjdhgpemljgcjclpmn
lmnjiioclbjphkggicmldippjojgmldk
ffgihbmcfcihmpbegcfdkmafaplheknk
lnjdldkappogbkljaiedgogobcgemch
hiodlpcelfelhpinhgngoopbmclcaghd
mnophppbmlnlfobakddidbcgcjakipin
jbajdpebknffiankdhopebkolgdlfaf
ejdihbblcbdfobabjfebfjfopenohbjb
ikkoanocgpdmmiamnkogipbpdpckcahn
ileojfedpkdbkcchpnghhaebfoimamop
akialmafcdmkelghnomeneinkcllnoih
eholblediahnodlgigdkdhkkpmbiafoj
ipokalojgdmhfpagmhnjokidnpjfnfik
hdpmmcmblgbkllldbccfdejchjlpochf
iphacjobmeoknlhenjfiilbkddgaljad
jiiggekklbbojgfmdenimcdkmidnfofl
gkhggnaplpjkghjjcmpmnmidjndojpcn
opakkgodhhongnhbdkgjgdlcbknacpaa
nkjomoafjgemogbdkhledkoeaflnmgfi
ebileebbekdcpfjlekjapgmbgpfigled
oaacndacaoelmkhfilennooagoelpjop
ljkgnegaajfacghepjiajibgdpfmcfip
hgolomhkdcpmbgckhebdhdknaemlbbaa
bboeoilakaofjkdmekpgeigieokkpgfn
dkkpollfhjoiapcenojlmgempmjekcla
emiocjgakibimbopobplmfldkldhhiad
nchdmembkfgkejljapneliogidkchiop
lljplndkobdgkjilfmfiefpldkhkhbbd
hofaaigdagglogiefkbencchnekjejl
hohobnnhiiohgcipklpncfmjkjpmejjni
jocnjcakendmllafpmjailfnlndaaklf
bjdclfjlhgcdcpjhmhfggkkfacipilai
ahebpkbnckhgjmndfjejibjjahjdlhdb
enaigkcpmpohpbokbfllbkijmllmpafm
bpngofombcjloljkoafhmpcjclkekfbh
cacbflgkiidgcekflfgdnjdnaalfmkob
ibmgdfenfldppaodbahpgcoebmmkdbac
Người dùng được khuyến cáo gỡ ngay các extension này và đặt lại mật khẩu cho toàn bộ tài khoản trực tuyến.
"Các kho ứng dụng chỉ kiểm tra extension khi gửi lên"
“Cơ chế tự động cập nhật, vốn được thiết kế để bảo vệ người dùng, lại trở thành con đường tấn công. Các kênh cập nhật đáng tin cậy của Chrome và Edge âm thầm phát tán phần mềm độc hại đến người dùng, mà kẻ gian không cần lừa đảo qua email và không dùng chiêu trò xã hội. Ban đầu chúng là những extension đáng tin cậy, được nâng cấp phiên bản một cách lặng lẽ, rồi trở thành nền tảng giám sát. Thành công của chiến dịch ShadyPanda không chỉ nằm ở mức độ tinh vi về kỹ thuật, mà còn ở việc khai thác có hệ thống cùng một lỗ hổng suốt 7 năm: Các kho ứng dụng chỉ kiểm tra extension khi gửi lên, chứ không giám sát những gì xảy ra sau khi extension được duyệt”, Koi Security báo cáo.
Trang BC đã liên hệ Google và Microsoft để có phản hồi về phát hiện của Koi Security. BC cũng liên hệ nhà phát triển extension này nhưng không nhận được phản hồi.