Trước khi trở thành độc hại, một trong 18 tiện ích mở rộng đã được gắn huy hiệu xác minh của Google với hơn 800 lượt đánh giá và được xếp hạng nổi bật trên Cửa hàng Chrome trực tuyến.

Các nhà nghiên cứu bảo mật của hãng Koi cảnh báo rằng, tiện ích mở rộng "Color Picker, Eyedropper - Geco colorpick" là một trong mười tám tiện ích mở rộng gần đây đã được cập nhật  và có gắn kèm mã độc.

Các nhà nghiên cứu cho biết: "Đây là phần mềm độc hại ẩn nấp (Trojan) được thiết kế cẩn thận, nhắm vào các mục tiêu có chủ đích và chiếm quyền điều khiển trình duyệt của bạn, theo dõi mọi trang web bạn truy cập, duy trì một cửa hậu lệnh và kiểm soát liên tục".

Chiến dịch tinh vi nói trên với tên gọi là RedDirection đã lây nhiễm hơn 2,3 triệu người dùng trên nền tảng Chrome và Edge, trở thành một trong những hoạt động chiếm quyền điều khiển trình duyệt lớn nhất.

Không có tiện ích mở rộng nào trong số 18 tiện ích mở rộng là độc hại ngay từ đầu. Chúng là những công cụ giải trí hoặc năng suất phổ biến, chẳng hạn như bàn phím biểu tượng cảm xúc, dự báo thời tiết, bộ điều khiển tốc độ video, bộ tăng âm lượng, trình chặn YouTube, chủ đề tối…

"Do cách Google và Microsoft xử lý các bản cập nhật tiện ích mở rộng trình duyệt, các phiên bản độc hại này được tự động cài đặt một cách âm thầm", báo cáo giải thích.

"Không lừa đảo và không kỹ thuật xã hội, chỉ có các tiện ích mở rộng đáng tin cậy với các bản cập nhật phiên bản âm thầm biến các công cụ năng suất thành phần mềm độc hại giám sát."

Tác nhân đe dọa đã thành công trong việc lợi dụng các nền tảng của các công ty công nghệ lớn để khuếch đại phạm vi tiếp cận phần mềm độc hại của chúng, trong khi các quy trình xác minh không phát hiện ra các thay đổi ẩn sâu bên trong nền tảng.

Trojan này hoạt động như thế nào?

Phần mềm độc hại bí mật kích hoạt với mỗi lần truy cập trang web mới và theo dõi hoạt động ở chế độ nền. Kẻ tấn công nhắm mục tiêu chuyển hướng người dùng đến các trang web độc hại, có khả năng là các trang web lừa đảo nhưng bắt chước giống như trang web gốc.

Phần mềm độc hại sẽ lấy URL (một địa chỉ duy nhất trên Internet) gốc của trang web mà người dùng truy cập, gửi đến máy chủ từ xa do kẻ tấn công kiểm soát cùng với một mã định danh duy nhất, sau đó máy chủ chỉ huy và kiểm soát (C&C) sẽ cung cấp một URL chuyển hướng. Tiện ích mở rộng bị xâm phạm sẽ tự động chuyển hướng người dùng đến một trang web độc hại nếu được yêu cầu, điều này có thể dẫn đến việc xâm phạm nghiêm trọng hơn.

Đồng thời, mỗi tiện ích mở rộng trong số mười tám tiện ích mở rộng gian lận đều hoạt động đúng như quảng cáo gồm chúng chọn màu, điều khiển tốc độ video, tăng âm lượng…

Kẻ tấn công có thể lợi dụng khả năng tấn công trung gian này bất cứ lúc nào. Chúng có thể chuyển hướng người dùng tải xuống "bản cập nhật Zoom quan trọng" khi họ nhận được lời mời họp Zoom, hoặc chuyển hướng người dùng đến một bản sao hoàn hảo đến từng pixel của trang đăng nhập ngân hàng để đánh cắp thông tin đăng nhập.

Mỗi tiện ích mở rộng hoạt động với các tên miền riêng biệt, tạo cảm giác như có các nhà phát triển riêng biệt đứng sau chúng. Tuy nhiên, chúng đều chia sẻ cùng một cơ sở hạ tầng tấn công tập trung.

Các nhà nghiên cứu của Koi Security khuyến nghị người dùng xóa ngay lập tức các tiện ích mở rộng sau khỏi Chrome và Edge.

Chrome:

Bàn phím Emoji trực tuyến - sao chép và dán emoji của bạn

Dự báo thời tiết miễn phí

Bộ điều khiển tốc độ video - Trình quản lý video

Mở khóa Discord - Proxy VPN để bỏ chặn Discord mọi lúc mọi nơi

Giao diện tối - Dark Reader cho Chrome

Volume Max - Bộ tăng âm lượng tối ưu

Bỏ chặn TikTok - Truy cập liền mạch với Proxy một cú nhấp chuột

Mở khóa YouTube VPN

Bộ chọn màu, Eyedropper - Bộ chọn màu Geco

Thời tiết

Edge:

Mở khóa TikTok

Bộ tăng âm lượng

Bộ cân bằng âm thanh web

Giá trị tiêu đề

Flash Player - trình giả lập trò chơi

Youtube đã bị chặn

SearchGPT - ChatGPT cho Công cụ tìm kiếm

Mở khóa Discord

Mặc dù các tiện ích mở rộng độc hại dường như đã bị xóa khỏi cửa hàng, nhưng một số tên miền do kẻ tấn công kiểm soát được liệt kê trong số các chỉ số bị xâm phạm thuộc báo cáo vẫn đang hoạt động và quảng cáo các công cụ độc hại.

Phải làm gì nếu tìm thấy một tiện ích mở rộng độc hại?

Các biện pháp giảm thiểu khác như xóa dữ liệu trình duyệt để xóa mọi liên kết độc hại đã lưu trữ và mã định danh theo dõi, chạy quét phần mềm độc hại toàn hệ thống để xác định các trường hợp nhiễm độc bổ sung và giám sát tài khoản để phát hiện hoạt động đáng ngờ.

Công ty bảo mật Malwarebytes khuyến cáo người dùng bị ảnh hưởng nên xóa tất cả dữ liệu duyệt web, bao gồm lịch sử, cookie, tệp được lưu trong bộ nhớ đệm và dữ liệu trang web, để loại bỏ bất kỳ mã định danh theo dõi hoặc mã thông báo phiên nào có thể đã bị đánh cắp hoặc thiết lập bởi các tiện ích mở rộng độc hại. Bạn cũng nên đặt lại thông tin đăng nhập nếu có nghi ngờ khả năng bị xâm phạm.

Malwarebytes chia sẻ lời khuyên cho người dùng như sau:

Đặt lại cài đặt trình duyệt về mặc định để hoàn tác bất kỳ thay đổi nào mà tiện ích mở rộng có thể đã thực hiện đối với công cụ tìm kiếm, trang chủ hoặc các cài đặt khác của bạn. Hãy chú ý các dấu hiệu như chuyển hướng bất ngờ, công cụ tìm kiếm đã thay đổi hoặc thanh công cụ mới.

Ngay lập tức thay đổi mật khẩu cho các tài khoản bạn đã truy cập trong khi tiện ích mở rộng độc hại được cài đặt (chẳng hạn như ngân hàng trực tuyến). Đảm bảo bạn đang sử dụng trình quản lý mật khẩu đáng tin cậy, tạo mật khẩu dài và phức tạp, khó bị bẻ khóa.

Bật xác thực hai yếu tố (2FA) nếu có thể để tăng cường bảo vệ.

Theo dõi các tài khoản để phát hiện hoạt động đáng ngờ.

Kiểm tra email và tin nhắn văn bản của bạn để biết các cảnh báo bảo mật hoặc thông báo về truy cập trái phép. Cũng hãy cảnh giác với những kẻ lừa đảo gửi cảnh báo giả mạo.

Đảm bảo trình duyệt và các tiện ích mở rộng còn lại của bạn được cập nhật.

Chạy quét toàn bộ hệ thống bằng giải pháp diệt vi-rút.

Nếu một tiện ích mở rộng yêu cầu thêm quyền sau khi cập nhật, đó là lý do chính đáng để xem xét kỹ lưỡng những gì nó yêu cầu và liệu điều đó có phù hợp với mục đích sử dụng của bạn hay không", công ty cho biết.

Tin tặc liên tục phát triển hoặc mua các tiện ích mở rộng khác, mà các nhà nghiên cứu bảo mật gọi là "tác nhân ngủ đông" cho các hoạt động độc hại trong tương lai. Malwarebytes Labs đã chia sẻ một ví dụ về các tiện ích mở rộng độc hại giả dạng công cụ tìm kiếm cho ChatGPT và đã tồn tại trong nhiều tháng trước khi trở thành độc hại.

Bất kỳ trình duyệt nào hỗ trợ tiện ích mở rộng đều có thể bị nhắm mục tiêu.

Các chuyên gia bảo mật khuyến nghị người dùng nên xem xét tất cả các tiện ích mở rộng đã cài đặt và xóa các tiện ích bổ sung không mong muốn. Hãy xem xét các hành vi đáng ngờ tương tự, vì một tiện ích mở rộng trước đây đáng tin cậy có thể bị đổi chủ và trở thành độc hại chỉ với một bản cập nhật.