Nhiều người dùng bị tấn công mạng thông qua tiện ích mở rộng extension trên Chrome

Theo báo cáo từ Reuters, nhiều người dùng đã bị tấn công mạng thông qua tiện ích mở rộng (extension) trên trình duyệt Chrome vào đúng dịp Giáng sinh vừa qua. Đáng chú ý khi cuộc tấn công được phát hiện bởi công ty an ninh mạng nổi tiếng Cyberhaven, cũng là một trong những công ty bị ảnh hưởng lớn nhất.

Trong bài đăng trên trang blog chính thức, Cyberhaven cho biết các tin tặc đã chèn mã độc vào loạt tiện ích mở rộng nhằm đánh cắp dữ liệu người dùng như cookie trình duyệt web và mã xác thực. Hacker dường như đặc biệt muốn truy cập vào các tài khoản quảng cáo trên mạng xã hội, cụ thể là Facebook Ads và thông tin xác thực nền tảng AI.

Các extension trước đó đều hoạt động bình thường nhưng tin tặc đẩy phiên bản cập nhật chứa mã độc đến máy người dùng vào đúng đêm Giáng sinh. Cyberhaven cho biết đã phát hiện cuộc tấn công vào extension của công ty và lập tức ra bản sửa lỗi trong vòng một giờ cũng như gửi thông báo tới người dùng sau đó.

Nhiều người dùng đã bị tấn công mạng thông qua tiện ích mở rộng (extension) trên trình duyệt Chrome. Ảnh minh họa

Các tiện ích mở rộng Chrome khác được xác nhận bị nhiễm mã độc gồm Internxt VPN, ParrotTalks, Uvoice và VPNCity. Mỗi extension đều có hàng chục nghìn người dùng, theo số liệu thống kê công khai trên Chrome Web Store.

Cách thức tấn công của hacker là gửi email lừa đảo tới các nhà phát triển tiện ích mở rộng của Chrome. Những người nhận được thư điện tử tin rằng do chính Chrome liên hệ nên đã mở đường link, nhập thông tin đăng nhập vào trang lừa đảo. Cyberhaven cho biết nhân viên của công ty cũng bị lừa đảo theo cách này.

Kẻ tấn công có thể không nhắm vào một công ty cụ thể mà chỉ phát động chiến dịch lừa đảo hàng loạt và sử dụng tài khoản của bất kỳ người nào bị dính bẫy. Hiện chưa rõ có bao nhiêu người sử dụng extension của Chrome bị ảnh hưởng bởi đợt tấn công này.

Cuối tháng 6, nghiên cứu của Đại học Stanford và Trung tâm Bảo mật Thông tin CISPA Helmholtz cho biết hơn 346 triệu lượt người dùng đã cài các loại extension chứa mã độc từ tháng 7/2020 đến tháng 2/2023. Sau khi trừ đi 66 triệu lượt cài không thành công do vi phạm chính sách và gặp lỗi, nhóm nghiên cứu ước tính vẫn còn 280 triệu lượt chứa phần mềm độc hại, có thể tương đương hàng chục triệu người dùng.

Google đề xuất người dùng nên thực hiện bốn cách để giảm nguy cơ tải về phần mềm độc hại. Trong đó, họ cần xem lại thông tin mà extension đó thu thập trước khi cài; gỡ cài đặt những extension không còn sử dụng nữa; giới hạn các website mà extension có thể hoạt động; và bật chế độ Bảo vệ nâng cao khi duyệt web nếu cần.

Theo tìm hiểu được biết, Google extension là tính năng hỗ trợ cho người dùng sử dụng trình duyệt Chrome. Đa dạng về ứng dụng, tính năng cùng công dụng, Google extension đã trở thành một điều tuyệt vời với trải nghiệm lướt web.

Google extension là những chương trình, phần mềm được phát triển và hoàn thiện bằng những ngôn ngữ web (HTML, CSS hay JavaScript), sau đó được Google xét duyệt và được cho lên cửa hàng extension trên Chrome. Những extension thường đem đến tính năng phục vụ cho tác vụ lướt web của người dùng, nâng cao trải nghiệm Internet

Được ra hỗ trợ trên Chrome vào 2010, Google extension đến nay đã từng bước cải tiến và phát triển, kết hợp cùng những sự đóng góp từ cộng đồng người dùng chuyên và không chuyên đã tạo nên một kho tàng tiện ích mở rộng khổng lồ. Từ đó cũng giúp cho trình duyệt Chrome trở thành trình duyệt được yêu thích nhất trên toàn cầu.

Tuy nhiên những extension an toàn và phân phối theo chính sách của Chrome trung bình không tồn tại quá lâu, chỉ khoảng 51.8% đến 62.9% còn hoạt động trên cửa hàng Chrome sau 1 năm, có thể do chúng bị dừng phát triển và cập nhật nên biến mất. Cùng với đó các extension chứa phần mềm độc hại có thời gian tồn tại trung bình đến 380 ngày trước khi bị phát hiện vi phạm và gỡ khỏi cửa hàng. Việc tồn tại càng lâu sẽ càng khiến nguy cơ bị đánh cắp dữ liệu người dùng cao hơn. 

Vấn đề bảo mật này là vấn đề lớn với người dùng. Tuy nhiên Google cho biết họ đã có bộ phận bảo mật cho tiện ích mở rộng cung cấp cho người dùng bản tóm tắt cá nhân hóa đối với các extension đã cài đặt và xem xét chúng trước khi đưa lên cửa hàng cũng như theo dõi sau đó.

Để giảm nguy cơ tải các extension chứa mã độc, Google khuyến khích người dùng nên kiểm tra thông tin mà tiện ích mở rộng yêu cầu trước khi cài đặt, gỡ bỏ những tiện ích không dùng đến, hạn chế quyền truy cập của extension đối với các trang web và kích hoạt chế độ bảo vệ cao cấp trong trình duyệt web.

Ngoài ra hiện Google đã xóa 34 tiện ích mở rộng dành cho Chrome có chứa mã độc. Tuy nhiên, các chuyên gia khuyến cáo nếu ai đã tải 34 tiện ích mở rộng cần nhanh chóng gỡ bỏ khỏi trình duyệt web Chrome, cụ thể:

Autoskip for YouTube, Soundboost, Crystal Ad block, Brisk VPN, Clipboard Helper, Maxi Refresher, Quick Translation, Easyview Reader view, PDF toolbox, Epsilon Ad blocker, Craft Cursors, Alfablocker ad blocker, Zoom Plus, Base Image Downloader, Clickish fun cursors, Cursor - A custom cursor, Amazing Dark Mode, Maximum Color Changer for YouTube, Awesome Auto Refresh, Venus Adblock, Adblock Dragon, Readl Reader mode, Volume Frenzy, Image download center, Font Customizer, Easy Undo Closed Tabs, Screence screen recorder, OneCleaner, Repeat button, Leap Video Downloader, Tap Image Downloader, Qspeed Video, Speed Controller, HyperVolume và Light picture-in-picture.

An Dương