-
09/04/2020
-
122
-
1.474 bài viết
Chiến dịch DarkSpectre phơi bày mạng lưới tiện ích trình duyệt độc hại quy mô lớn
Trong nhiều năm qua, các tiện ích mở rộng được xem là công cụ quen thuộc giúp người dùng làm việc thuận tiện hơn trên trình duyệt. Tuy nhiên, một cuộc điều tra mới đây đã cho thấy mặt tối đáng lo ngại cho hàng triệu người dùng Chrome, Edge và Firefox đã vô tình cài đặt những tiện ích tưởng chừng vô hại nhưng thực chất lại âm thầm thu thập dữ liệu nhạy cảm, phục vụ cho các hoạt động gián điệp và trục lợi quy mô lớn. Chuỗi các chiến dịch này được các nhà nghiên cứu đặt tên chung là DarkSpectre.
Theo phân tích của các chuyên gia an ninh mạng, DarkSpectre là tên định danh của một tổ chức nguy hiểm đứng sau ít nhất ba chiến dịch tiện ích trình duyệt độc hại gồm ShadyPanda, GhostPoster và chiến dịch mới nhất mang tên Zoom Stealer. Tổng cộng, các chiến dịch này đã ảnh hưởng tới hơn 8,8 triệu người dùng trong suốt hơn bảy năm, trải rộng trên nhiều trình duyệt phổ biến như Google Chrome, Microsoft Edge, Mozilla Firefox và thậm chí cả Opera.
Điểm chung của các chiến dịch là sử dụng những tiện ích có tên gọi, chức năng và giao diện rất quen thuộc, mô phỏng các công cụ hỗ trợ công việc hằng ngày như tải video, ghi âm trình duyệt, tiện ích cho Google Meet, Zoom, GoTo Webinar hoặc VPN. Chính sự “bình thường” này đã giúp chúng dễ dàng vượt qua khâu kiểm duyệt và tạo dựng lòng tin với người dùng.
Các chiến dịch bị phanh phui như thế nào?
1. Chiến dịch đầu tiên - ShadyPanda
Bị vạch trần, với mục tiêu đánh cắp dữ liệu người dùng, chiếm quyền điều khiển truy vấn tìm kiếm và gian lận tiếp thị liên kết. Chiến dịch này ảnh hưởng tới khoảng 5,6 triệu người dùng, trong đó có hơn 100 tiện ích bị xác định có liên quan cùng một cụm hạ tầng.
Đáng chú ý, một số tiện ích trong nhóm này được cài sẵn “logic bomb” - cơ chế trì hoãn kích hoạt hành vi độc hại sau vài ngày. Trong thời gian chờ đó, tiện ích hoạt động hoàn toàn bình thường để qua mặt quá trình kiểm duyệt và nhận đánh giá tích cực từ người dùng.
Đáng chú ý, một số tiện ích trong nhóm này được cài sẵn “logic bomb” - cơ chế trì hoãn kích hoạt hành vi độc hại sau vài ngày. Trong thời gian chờ đó, tiện ích hoạt động hoàn toàn bình thường để qua mặt quá trình kiểm duyệt và nhận đánh giá tích cực từ người dùng.
2. Chiến dịch thứ hai - GhostPoster
Được phát hiện tập trung chủ yếu vào Firefox, giả dạng các tiện ích hữu ích hoặc VPN để chèn mã JavaScript độc hại, chiếm quyền liên kết tiếp thị, gắn mã theo dõi và thực hiện gian lận quảng cáo.
3. Chiến dịch thứ ba - Zoom Stealer
Được đánh giá là nguy hiểm hơn cả khi nhắm trực tiếp vào dữ liệu họp trực tuyến của doanh nghiệp, ảnh hưởng tới khoảng 2,2 triệu người dùng.
Danh sách các tiện ích đã được xác định và ID tương ứng được liệt kê bên dưới:
Danh sách các tiện ích đã được xác định và ID tương ứng được liệt kê bên dưới:
Google Chrome
- Chrome Audio Capture (kfokdmfpdnokpmpbjhjbcabgligoelgp)
- ZED: Zoom Easy Downloader (pdadlkbckhinonakkfkdaadceojbekep)
- X (Twitter) Video Downloader (akmdionenlnfcipmdhbhcnkighafmdha)
- Google Meet Auto Admit (pabkjoplheapcclldpknfpcepheldbga)
- Zoom.us Always Show "Join From Web" (aedgpiecagcpmehhelbibfbgpfiafdkm)
- Timer for Google Meet(dpdgjbnanmmlikideilnpfjjdbmneanf)
- CVR: Chrome Video Recorder (kabbfhmcaaodobkfbnnehopcghicgffo)
- GoToWebinar & GoToMeeting Download Recordings (cphibdhgbdoekmkkcbbaoogedpfibeme)
- Meet auto admit (ceofheakaalaecnecdkdanhejojkpeai)
- Google Meet Tweak (Emojis, Text, Cam Effects) (dakebdbeofhmlnmjlmhjdmmjmfohiicn)
- Mute All on Meet (adjoknoacleghaejlggocbakidkoifle)
- Google Meet Push-To-Talk (pgpidfocdapogajplhjofamgeboonmmj)
- Photo Downloader for Facebook, Instagram (ifklcpoenaammhnoddgedlapnodfcjpn)
- Zoomcoder Extension (ebhomdageggjbmomenipfbhcjamfkmbl)
- Auto-join for Google Meet (ajfokipknlmjhcioemgnofkpmdnbaldi)
Microsoft Edge
- Edge Audio Capture (mhjdjckeljinofckdibjiojbdpapoecj)
Mozilla Firefox
- Twiter X Video Downloader ({7536027f-96fb-4762-9e02-fdfaedd3bfb5}, published by "invaliddejavu")
- x-video-downloader (xtwitterdownloader@benimaddonum[.]com, published by "invaliddejavu")
Vì sao gọi là gián điệp doanh nghiệp?
Khác với các chiến dịch lừa đảo thông thường, Zoom Stealer được thiết kế để thu thập có hệ thống thông tin liên quan tới các cuộc họp và hội thảo trực tuyến. Khi người dùng cài đặt tiện ích, mã độc sẽ âm thầm theo dõi hoạt động trình duyệt và gửi dữ liệu về máy chủ điều khiển thông qua kết nối WebSocket theo thời gian thực.
Thông tin bị thu thập không chỉ dừng ở đường link họp hay ID cuộc họp mà còn bao gồm mật khẩu nhúng trong URL, chủ đề cuộc họp, thời gian, trạng thái đăng ký, danh sách người tham gia, thậm chí cả thông tin về diễn giả và đơn vị tổ chức. Đáng lo ngại hơn, các tiện ích này yêu cầu quyền truy cập tới hơn 28 nền tảng họp trực tuyến khác nhau, kể cả khi chức năng chính của chúng không hề liên quan.
Theo các chuyên gia của Koi Security, đây không còn là gian lận đơn thuần mà là một hạ tầng gián điệp doanh nghiệp, có thể phục vụ cho hoạt động thu thập tình báo, bán dữ liệu cho bên thứ ba hoặc triển khai các chiến dịch lừa đảo mạo danh tinh vi.
Thông tin bị thu thập không chỉ dừng ở đường link họp hay ID cuộc họp mà còn bao gồm mật khẩu nhúng trong URL, chủ đề cuộc họp, thời gian, trạng thái đăng ký, danh sách người tham gia, thậm chí cả thông tin về diễn giả và đơn vị tổ chức. Đáng lo ngại hơn, các tiện ích này yêu cầu quyền truy cập tới hơn 28 nền tảng họp trực tuyến khác nhau, kể cả khi chức năng chính của chúng không hề liên quan.
Theo các chuyên gia của Koi Security, đây không còn là gian lận đơn thuần mà là một hạ tầng gián điệp doanh nghiệp, có thể phục vụ cho hoạt động thu thập tình báo, bán dữ liệu cho bên thứ ba hoặc triển khai các chiến dịch lừa đảo mạo danh tinh vi.
Phạm vi và mức độ ảnh hưởng
Ba chiến dịch của DarkSpectre đã tác động tới hàng triệu người dùng trên toàn cầu trong thời gian dài mà không bị phát hiện. Nhiều tiện ích trong số này tồn tại hợp pháp suốt nhiều năm, tích lũy hàng trăm nghìn tới hàng triệu lượt cài đặt trước khi bị “vũ khí hóa” thông qua các bản cập nhật độc hại.
Rủi ro và hậu quả tiềm ẩn
Việc các tiện ích này bị khai thác có thể dẫn tới nhiều hệ lụy nghiêm trọng:
- Lộ thông tin họp nội bộ, kế hoạch kinh doanh, dữ liệu đối tác và chiến lược của doanh nghiệp.
- Tạo điều kiện cho các cuộc tấn công lừa đảo, mạo danh hoặc xâm nhập sâu hơn vào hệ thống tổ chức.
- Gia tăng nguy cơ gián điệp công nghiệp và cạnh tranh không lành mạnh ở quy mô lớn.
Người dùng và doanh nghiệp cần làm gì?
Các chuyên gia an ninh mạng khuyến nghị người dùng cần rà soát lại toàn bộ tiện ích đang cài đặt, gỡ bỏ những tiện ích không còn sử dụng hoặc yêu cầu quá nhiều quyền truy cập không cần thiết. Doanh nghiệp nên áp dụng chính sách kiểm soát tiện ích trình duyệt, hạn chế cài đặt tự do và tăng cường giám sát lưu lượng truy cập bất thường. Ngoài ra, việc cập nhật trình duyệt, theo dõi cảnh báo từ các hãng bảo mật và đào tạo nhận thức an ninh cho nhân viên cũng đóng vai trò quan trọng trong việc giảm thiểu rủi ro từ các mối đe dọa kiểu mới này.
Vụ việc DarkSpectre cho thấy một thực tế ngay cả những công cụ quen thuộc nhất cũng có thể trở thành kênh tấn công nguy hiểm nếu bị lợi dụng. Người dùng và doanh nghiệp buộc phải thận trọng hơn trong từng thao tác cài đặt.
Vụ việc DarkSpectre cho thấy một thực tế ngay cả những công cụ quen thuộc nhất cũng có thể trở thành kênh tấn công nguy hiểm nếu bị lợi dụng. Người dùng và doanh nghiệp buộc phải thận trọng hơn trong từng thao tác cài đặt.
WhiteHat
Chỉnh sửa lần cuối: