Tiện ích mở rộng trên trình duyệt web bị tin tặc lợi dụng đánh cắp thông tin dữ liệu người dùng

Các chuyên gia bảo mật cho biết, hầu hết tiện ích mở rộng trên Chrome đều miễn phí. Những phần mềm phát hiện chứa mã độc chủ yếu dùng để chuyển đổi định dạng tập tin, hoặc thậm chí núp bóng ứng dụng nổi tiếng nhưng không có chức năng gì. Tuy nhiên, sau khi được cài đặt, chúng sẽ âm thầm thu thập dữ liệu duyệt web, thói quen sử dụng dịch vụ nào đó, hoặc nghiêm trọng hơn là thông tin đăng nhập của người dùng.

Ông Gary Golomb, Đồng sáng lập và Giám đốc nghiên cứu tại Awake Security (Nền tảng điều tra giúp các nhóm bảo mật phát hiện các mối đe dọa từ phần mềm độc hại) cho biết ngành công nghệ hiện nay chưa chú trọng bảo mật các tiện ích mở rộng cho trình duyệt như các phần mềm khác, dù lượng người dùng vô cùng lớn. Không ít người giao dịch tài chính, thảo luận các bí mật hay chia sẻ thông tin "nhạy" cảm qua nền tảng web... và đây chính là mục tiêu cho hacker”

"Bất cứ điều gì bạn thực hiện trên trình duyệt hoặc email sẽ là mục tiêu cho các hoạt động gián điệp quốc gia, cũng như tội phạm có tổ chức", Ben Johnson, cựu kỹ sư của Cơ quan An ninh Quốc gia Mỹ và sáng lập hai công ty bảo mật Carbon Black và Obsidian Security, nhận xét.

Dưới đây là những tiện ích mở rộng bị tin tặc lợi dụng tạo ra các cuộc tấn công mạng

Tiện ích mở rộng ChatGPT giả mạo

Vào tháng 3/2023, hai tiện ích mở rộng giả mạo ChatGPT được phát hiện trong cửa hàng Google Chrome. Một trong số chúng đã giả mạo "ChatGPT for Google," lợi dụng quảng cáo Google Search ads để thu hút hơn 9.000 lượt tải xuống. Tiện ích này âm thầm đánh cắp phiên cookie Facebook, chiếm đoạt tài khoản và sử dụng mục tiêu đó để quảng bá nội dung độc hại. Ví dụ, trường hợp của một tài khoản Facebook có tên là “Lily Collins”, tài khoản này đã bị đánh cắp và tiến hành quảng bá các nội dung thông tin về tổ chức khủng bố IS.

Trong trường hợp khác, những kẻ lừa đảo đã tạo một tiện ích mở rộng hoàn toàn mới có tên “Quick access to Chat GPT”. Trên thực tế, tiện ích mở rộng này đóng vai trò trung gian giữa người dùng và ChatGPT bằng API chính thức của dịch vụ AI. Tuy nhiên, mục đích thực sự của nó là đánh cắp phiên cookie Facebook, cho kẻ tấn công có thể chiếm đoạt tài khoản doanh nghiệp trên Facebook.

Tiện ích mở rộng đánh cắp nội dung email

Cơ quan Liên bang Đức và Cơ quan Tình báo quốc gia Hàn Quốc báo cáo về nhóm tội phạm mạng Kimsuky sử dụng tiện ích mở rộng để đọc nội dung thư điện tử từ Gmail.

Cuộc tấn công này lợi dụng sự ngây thơ của nạn nhân bằng cách gửi email có liên kết đến tiện ích mở rộng độc hại. Email này chứa liên kết đến tiện ích mở rộng độc hại có tên là AF, cùng với một số văn bản thuyết phục nạn nhân cài đặt tiện ích mở rộng, thành phần độc hại sẽ thực thi khi nạn nhân mở Gmail trên trình duyệt đã cài đặt tiện ích mở rộng này. AF sau đó sẽ tự động gửi nội dung email của nạn nhân đến máy chủ chỉ huy và kiểm soát (C2) của tin tặc.

Do đó, Kimsuky đã giành được quyền truy cập vào hộp thư của nạn nhân. Hơn nữa, các tin tặc không cần dùng bất kỳ kỹ thuật phức tạp nào để xâm phạm vào email, đơn giản chỉ là vượt qua xác thực hai yếu tố. Phương pháp này cho phép các tin tặc thực hiện xâm phạm một cách bí mật, đặc biệt là ngăn Google gửi cảnh báo cho nạn nhân về quyền truy cập tài khoản từ một thiết bị mới hoặc vị trí đáng ngờ, như trường hợp mật khẩu bị đánh cắp.

Rilide - Đánh cắp tiền điện tử

Tiện ích mở rộng Rilide, phát hiện đầu tiên vào tháng 4/2023, theo dõi và đánh cắp thông tin ví tiền điện tử từ người dùng. Rilide vượt qua xác thực hai yếu tố bằng cách chèn mã độc vào hộp thoại nhập mã xác nhận trong giao dịch tiền điện tử. Ví của người nhận thanh toán được thay thế bằng ví của kẻ tấn công và cuối cùng, tiện ích mở rộng xác nhận giao dịch bằng mã bị đánh cắp.

Rilide tấn công người dùng trình duyệt dựa trên Chrome, bao gồm: Chrome, Edge, Brave và Opera, bằng cách bắt chước một tiện ích mở rộng hợp pháp của Google Drive để tránh bị nghi ngờ. Rilide dường như được bán tự do trên thị trường web đen, vì vậy nó được sử dụng bởi những tên tội phạm không liên quan đến nhau. Vì lý do này, nhiều phương thức phân phối đã được phát hiện, từ các trang web và email độc hại cho đến các trình cài đặt trò chơi Blockchain bị lây nhiễm mã độc được quảng bá trên X (Twitter).

Tiện ích Roblox, RoFinder và RoTracker

Vào tháng 11/2022, hai tiện ích mở rộng độc hại có cùng tên là SearchBlox đã được phát hiện trong cửa hàng Chrome trực tuyến - cửa hàng chính thức dành cho các tiện ích mở rộng của trình duyệt Google Chrome. Một trong những tiện ích này đã có hơn 200.000 lượt tải xuống.

Tuyên bố thông tin của các tiện ích mở rộng này là tìm kiếm một người chơi cụ thể trên máy chủ Roblox. Tuy nhiên, mục đích thực sự của người phát triển là chiếm đoạt tài khoản của người chơi Roblox và đánh cắp tài sản trong trò chơi của họ. Sau khi thông tin về các tiện ích mở rộng độc hại này được công bố, chúng đã bị xóa khỏi Cửa hàng Chrome trực tuyến và tự động bị xóa trên thiết bị của người dùng đã cài đặt.

Tuy nhiên vào tháng 8/2023, hai tiện ích mở rộng độc hại khác có tính chất tương tự là RoFinder và RoTracker đã được phát hiện trong cửa hàng Chrome trực tuyến. Cũng giống như SearchBlox, các plugin này cung cấp cho người dùng khả năng tìm kiếm những người chơi khác trên máy chủ Roblox, nhưng trên thực tế, chúng đã tích hợp một backdoor. Cộng đồng người dùng Roblox cuối cùng cũng đã xóa được các tiện ích mở rộng này.

Phát tán thông qua ChromeLoader

Các tin tặc còn sử dụng ChromeLoader để phân phối tiện ích mở rộng độc hại thông qua các trò chơi mạng và các trang web lậu. Vào đầu năm nay, các nhà nghiên cứu nhận thấy một chiến dịch độc hại mới liên quan đến phần mềm độc hại ChromeLoader. Tiện ích mở rộng này hiển thị các quảng cáo xâm nhập trong trình duyệt và giả mạo kết quả tìm kiếm với các liên kết dẫn đến quà tặng giải thưởng giả mạo, nội dung khảo sát, trang web hẹn hò,…

Những kẻ tấn công đã sử dụng nhiều nội dung vi phạm bản quyền làm mồi nhử để khiến nạn nhân cài đặt ChromeLoader. Ví dụ vào tháng 02/2023, các nhà nghiên cứu đã báo cáo về sự lây lan của ChromeLoader thông qua tệp VHD (một định dạng ảnh đĩa) được ngụy trang dưới dạng trò chơi đã bị tấn công mạng hoặc trò chơi bẻ khóa (crack). Trong số các trò chơi được những kẻ tấn công sử dụng có Elden Ring, ROBLOX, Dark Souls 3, Red Dead Redemption 2, Need for Speed, Call of Duty, Portal 2, Minecraft, Legend of Zelda, Pokemon, Mario Kart, Animal Crossing,... Tất cả các tệp VHD này đều chứa trình cài đặt tiện ích mở rộng độc hại. Người dùng cẩn trọng với nội dung vi phạm bản quyền được sử dụng như mồi nhử để cài đặt ChromeLoader.

Cách bảo vệ trước các tiện ích mở rộng độc hại

Các tiện ích mở rộng trình duyệt nguy hiểm có thể xuất hiện trên máy tính của người dùng từ nhiều nguồn khác nhau, bao gồm cả cửa hàng Google Chrome trực tuyến chính thức. Những kẻ tấn công có thể sử dụng chúng cho nhiều mục đích khác nhau, từ chiếm đoạt tài khoản và thay đổi kết quả tìm kiếm đến đánh cắp tiền điện tử. Theo đó, điều quan trọng là phải chủ động thực hiện các biện pháp phòng ngừa.

Người dùng nên tránh cài đặt các tiện ích mở rộng trình duyệt không cần thiết. Trình duyệt càng có ít tiện ích mở rộng thì càng tốt. Nếu cần phải cài đặt tiện ích mở rộng, tốt hơn hết người dùng nên cài đặt tiện ích mở rộng đó từ cửa hàng chính thức thay vì từ một trang web không xác định. Chắc chắn, điều này không loại bỏ hoàn toàn nguy cơ gặp phải các tiện ích mở độc hại, nhưng ít nhất cửa hàng chính thức cũng có các giai đoạn kiểm duyệt bảo mật.

Trước khi cài đặt, người dùng cần đọc các nhận xét về tiện ích mở rộng. Nếu có điều gì không ổn, có thể những người dùng nào đó đã nhận thấy và thông báo cho những người dùng khác.

Bên cạnh đó cần thường xuyên xem lại danh sách các tiện ích mở rộng được cài đặt trong trình duyệt. Cần thiết nên xóa mọi thứ không sử dụng - đặc biệt là những tiện ích mà người dùng không nhớ đã cài đặt. Đảm bảo sử dụng các giải pháp bảo vệ điểm cuối đáng tin cậy trên tất cả các thiết bị.

Cuộc chiến chống lại các cuộc tấn công từ tiện ích mở rộng độc hại đang ngày càng trở nên quan trọng. Cộng đồng người dùng và nhà phát triển cần hợp tác để nâng cao chất lượng kiểm duyệt và giúp bảo vệ môi trường trực tuyến khỏi mối đe dọa ngày càng tinh vi.

Duy Trinh (t/h)