-
09/04/2020
-
123
-
1.514 bài viết
17 extension trình duyệt độc hại đánh cắp dữ liệu của hơn 840.000 người dùng
GhostPoster, một chiến dịch phát tán tiện ích mở rộng độc hại, vừa bị phanh phui sau nhiều năm âm thầm tồn tại. Ít nhất 17 extension xuất hiện công khai trên Chrome, Firefox và Microsoft Edge đã thu hút hơn 840.000 lượt cài đặt, qua đó lặng lẽ thu thập và đánh cắp dữ liệu người dùng.
Theo các nhà nghiên cứu an ninh mạng, GhostPoster không phải là chiến dịch mới. Dấu vết cho thấy nhóm đứng sau đã bắt đầu hoạt động từ năm 2020, đủ lâu để xâm nhập sâu vào hệ sinh thái trình duyệt và thói quen sử dụng của người dùng toàn cầu. Điều đáng lo ngại là các tiện ích này đều tồn tại trong các kho extension chính thức, vượt qua quy trình kiểm duyệt và duy trì trạng thái hợp lệ trong thời gian dài, có trường hợp lên tới 5 năm.
Để qua mặt người dùng, các extension trong chiến dịch GhostPoster được ngụy trang bằng những cái tên rất phổ biến, gắn với các chức năng quen thuộc như dịch nhanh, tải video hay chặn quảng cáo. Việc xuất hiện công khai trên các kho extension chính thức càng khiến các tiện ích này dễ dàng được cài đặt mà không gây nghi ngờ.
- Google Translate in Right Click
- Translate Selected Text with Google
- Ads Block Ultimate
- Floating Player – PiP Mode
- Convert Everything
- Youtube Download
- One Key Translate
- AdBlocker
- Save Image to Pinterest on Right Click
- Instagram Downloader
- RSS Feed
- Cool Cursor
- Full Page Screenshot
- Amazon Price History
- Color Enhancer
- Translate Selected Text with Right Click
- Page Screenshot Clipper
Tiện ích Firefox chứa mã độc vẫn được cho phép tải về trên Store (Nguồn: LayerX Security)
Phân tích kỹ thuật cho thấy GhostPoster khai thác triệt để điểm yếu mang tính hệ thống là niềm tin mặc định của người dùng vào extension trong store chính hãng. Thay vì nhúng mã độc trực tiếp, các tiện ích này sử dụng kỹ thuật steganography để giấu payload độc hại bên trong các tệp ảnh PNG. Những hình ảnh tưởng chừng vô hại thực chất chứa dữ liệu mã hóa, chỉ được trích xuất và giải mã sau khi extension đã được cài đặt thành công.
Sau khi kích hoạt, extension kết nối tới máy chủ do kẻ tấn công kiểm soát để tải thêm mã độc. Từ đây, hàng loạt hành vi nguy hiểm được thực thi bao gồm chiếm đoạt liên kết tiếp thị nhằm trục lợi tài chính, chèn mã theo dõi hành vi duyệt web, thao túng HTTP header để vô hiệu hóa một số cơ chế bảo mật, đồng thời đánh cắp thông tin đăng nhập và dữ liệu cá nhân của người dùng.
Sau khi kích hoạt, extension kết nối tới máy chủ do kẻ tấn công kiểm soát để tải thêm mã độc. Từ đây, hàng loạt hành vi nguy hiểm được thực thi bao gồm chiếm đoạt liên kết tiếp thị nhằm trục lợi tài chính, chèn mã theo dõi hành vi duyệt web, thao túng HTTP header để vô hiệu hóa một số cơ chế bảo mật, đồng thời đánh cắp thông tin đăng nhập và dữ liệu cá nhân của người dùng.
Đã giải mã dữ liệu .png (Nguồn – LayerX Security)
Không dừng lại ở đó, GhostPoster được thiết kế với cơ chế kích hoạt trì hoãn nhằm né tránh các hệ thống phát hiện. Phần lớn biến thể chỉ bắt đầu hoạt động sau 48 giờ kể từ khi cài đặt, một số trường hợp thậm chí chờ tới 5 ngày mới liên lạc với máy chủ điều khiển. Khoảng thời gian chờ này giúp mã độc vượt qua các công cụ quét tự động trong giai đoạn kiểm duyệt và giảm khả năng bị phát hiện bởi các hệ thống phân tích hành vi sớm.
Mã độc chính được nhúng trong background script của extension ở dạng payload mã hóa và chỉ được giải mã khi chạy thực tế. Cách tiếp cận này khiến việc phân tích tĩnh gần như không mang lại kết quả, đồng thời đảm bảo mã độc chỉ lộ diện khi đã hiện diện trên hệ thống nạn nhân.
Cuộc điều tra bắt đầu khi Koi Security phát hiện một tiện ích Firefox có dấu hiệu bất thường. Từ manh mối ban đầu, các chuyên gia của LayerX Security lần theo hạ tầng máy chủ, mã nguồn và các mối liên kết kỹ thuật, qua đó xác định toàn bộ 17 extension đều thuộc cùng một chiến dịch có tổ chức. Nghiên cứu cũng cho thấy nhóm tấn công đã mở rộng phạm vi một cách có hệ thống, lần lượt từ Microsoft Edge sang Firefox rồi đến Chrome, với kỹ thuật được điều chỉnh để phù hợp với yêu cầu bảo mật của từng nền tảng.
GhostPoster là minh chứng rõ ràng cho thấy ranh giới giữa một tiện ích hữu ích và một công cụ gián điệp đôi khi chỉ cách nhau một cú nhấp chuột. Trong bối cảnh trình duyệt trở thành trung tâm của mọi hoạt động số từ công việc, mua sắm đến giao dịch tài chính, các extension độc hại kiểu này có thể gây ra hậu quả âm thầm nhưng kéo dài, ảnh hưởng trực tiếp đến quyền riêng tư và an toàn dữ liệu người dùng.
Vụ việc một lần nữa đặt ra câu hỏi về hiệu quả của cơ chế kiểm duyệt extension, đồng thời là lời cảnh báo rằng ngay cả các kho tiện ích chính thức cũng không phải lúc nào cũng an toàn tuyệt đối. Với người dùng, sự thận trọng khi cài đặt extension, từ việc kiểm tra nhà phát triển, quyền truy cập cho tới lịch sử cập nhật, đang trở thành lớp phòng vệ quan trọng trong môi trường số nhiều rủi ro hiện nay.
Mã độc chính được nhúng trong background script của extension ở dạng payload mã hóa và chỉ được giải mã khi chạy thực tế. Cách tiếp cận này khiến việc phân tích tĩnh gần như không mang lại kết quả, đồng thời đảm bảo mã độc chỉ lộ diện khi đã hiện diện trên hệ thống nạn nhân.
Cuộc điều tra bắt đầu khi Koi Security phát hiện một tiện ích Firefox có dấu hiệu bất thường. Từ manh mối ban đầu, các chuyên gia của LayerX Security lần theo hạ tầng máy chủ, mã nguồn và các mối liên kết kỹ thuật, qua đó xác định toàn bộ 17 extension đều thuộc cùng một chiến dịch có tổ chức. Nghiên cứu cũng cho thấy nhóm tấn công đã mở rộng phạm vi một cách có hệ thống, lần lượt từ Microsoft Edge sang Firefox rồi đến Chrome, với kỹ thuật được điều chỉnh để phù hợp với yêu cầu bảo mật của từng nền tảng.
GhostPoster là minh chứng rõ ràng cho thấy ranh giới giữa một tiện ích hữu ích và một công cụ gián điệp đôi khi chỉ cách nhau một cú nhấp chuột. Trong bối cảnh trình duyệt trở thành trung tâm của mọi hoạt động số từ công việc, mua sắm đến giao dịch tài chính, các extension độc hại kiểu này có thể gây ra hậu quả âm thầm nhưng kéo dài, ảnh hưởng trực tiếp đến quyền riêng tư và an toàn dữ liệu người dùng.
Vụ việc một lần nữa đặt ra câu hỏi về hiệu quả của cơ chế kiểm duyệt extension, đồng thời là lời cảnh báo rằng ngay cả các kho tiện ích chính thức cũng không phải lúc nào cũng an toàn tuyệt đối. Với người dùng, sự thận trọng khi cài đặt extension, từ việc kiểm tra nhà phát triển, quyền truy cập cho tới lịch sử cập nhật, đang trở thành lớp phòng vệ quan trọng trong môi trường số nhiều rủi ro hiện nay.
Theo Cyber Security News
Chỉnh sửa lần cuối: