Hơn 100 tiện ích Chrome độc hại âm thầm đánh cắp dữ liệu người dùng

[WhiteHat Team]

Theo phát hiện, hơn 100 extension trên Google Chrome đã bị phát hiện âm thầm thu thập dữ liệu người dùng, chiếm quyền phiên đăng nhập và chèn mã độc vào mọi trang web truy cập. Đáng chú ý, các tiện ích này vẫn tồn tại công khai trên Chrome Web Store và đã thu hút hàng chục nghìn lượt cài đặt.
​

​

Phát hiện này được công bố bởi công ty bảo mật Socket, với phân tích từ nhà nghiên cứu Kush Pandya. Theo đó, tổng cộng 108 tiện ích Chrome được phát hiện có hành vi độc hại, dù được phát hành dưới nhiều tên nhà phát triển khác nhau như Yana Project, GameGen hay Rodeo Games.

Điểm chung của toàn bộ các extension này là đều kết nối về cùng một hạ tầng điều khiển (C2), cho phép kẻ tấn công thu thập dữ liệu và điều khiển trình duyệt của nạn nhân từ xa. Tổng số lượt cài đặt được ghi nhận vào khoảng 20.000, cho thấy phạm vi ảnh hưởng không hề nhỏ. Vấn đề nằm ở việc các tiện ích độc hại đã vượt qua kiểm duyệt và được phân phối công khai, lợi dụng niềm tin của người dùng đối với hệ sinh thái tiện ích trình duyệt.

Về cơ chế hoạt động, các extension này được thiết kế để ngụy trang dưới nhiều dạng ứng dụng quen thuộc như công cụ hỗ trợ Telegram, tiện ích cải thiện trải nghiệm YouTube, TikTok, công cụ dịch thuật hoặc thậm chí là game giải trí. Tuy nhiên, phía sau giao diện tưởng chừng vô hại là các đoạn mã độc hoạt động ngầm.

Sau khi được cài đặt, tiện ích sẽ yêu cầu quyền truy cập sâu vào trình duyệt, cho phép nó can thiệp vào mọi trang web người dùng truy cập. Từ đó, mã độc có thể chèn script tùy ý, hiển thị quảng cáo hoặc chuyển hướng người dùng đến các trang web do kẻ tấn công kiểm soát.

Một số extension còn được tích hợp khả năng đánh cắp dữ liệu ở mức nghiêm trọng. Chẳng hạn, nhiều tiện ích sử dụng cơ chế OAuth2 để thu thập thông tin tài khoản Google, bao gồm email, tên người dùng và ID tài khoản. Các tiện ích khác lại tập trung vào việc chiếm quyền phiên đăng nhập của Telegram bằng cách trích xuất token xác thực và gửi về máy chủ điều khiển.

Đáng chú ý, một số extension còn có thể ghi đè dữ liệu phiên làm việc trên trình duyệt, cho phép kẻ tấn công “chiếm quyền” phiên Telegram của nạn nhân mà không cần mật khẩu. Điều này đồng nghĩa với việc tin tặc có thể đọc tin nhắn, gửi nội dung hoặc thực hiện các hành vi giả mạo.

Ngoài ra, các tiện ích này còn có khả năng vô hiệu hóa các cơ chế bảo mật trên những nền tảng lớn như YouTube hoặc TikTok, từ đó chèn nội dung quảng cáo hoặc các lớp phủ mang tính lừa đảo. Một số khác thậm chí còn gửi dữ liệu phiên Telegram về máy chủ mỗi 15 giây, cho thấy mức độ theo dõi liên tục và xâm nhập sâu vào quyền riêng tư người dùng.

Nguyên nhân khiến chiến dịch này có thể hoạt động là do người dùng thường chủ quan khi cài đặt extension, đồng thời cấp quá nhiều quyền mà không kiểm tra kỹ. Bên cạnh đó, các tiện ích này được thiết kế để sử dụng chung một hệ thống backend, giúp kẻ tấn công dễ dàng quản lý và mở rộng quy mô chiến dịch.​

Phân bố hành vi​

• 54 extension → đánh cắp Google account​
• 45 extension → có backdoor mở URL​
• Nhiều extension → inject script toàn bộ website​
• Một số → exfil Telegram mỗi 15 giây​

Các nhóm tiện ích độc hại tiêu biểu​

Nhóm chiếm quyền Telegram (nguy hiểm nhất)​

• Telegram Multi-account​
• Web Client for Telegram - Teleside​
• Telegram Sidebar Tool​
• Telegram Panel Extension​

Điểm chung:​

• Lấy user_auth token​
• Gửi về server C2​
• Có thể chiếm luôn phiên đăng nhập Telegram​

Nhóm đánh cắp Google Account (OAuth abuse)​

• Formula Rush Racing Game​
• Speed Racing Pro​
• Keno Online Game​
• Slot Machine Classic​

Hành vi:​

• Fake nút “Sign in with Google”​
• Thu thập: Email, Name, Avatar, Google ID​

Nhóm giả dạng tiện ích YouTube/ TikTok​

• YouTube Pro Enhancer​
• YouTube Fullscreen Helper​
• TikTok Viewer Plus​
• TikTok Engagement Booster​

Hành vi:​

• Gỡ CSP/ CORS/ X-Frame-Options​
• Thu thập: Ads, Gambling overlay, Script độc​

Nhóm tool dịch thuật/ tiện ích web​

• Quick Translate Tool​
• Page Translator Pro​
• Smart Translate AI​
• Multi Language Helper​

Hành vi:​

• Proxy toàn bộ request về server attacker​
• Thu thập: Nội dung người dùng nhập, URL truy cập​

Nhóm backdoor trình duyệt​

• Fast Browser Launcher​
• Quick Access Tool​
• New Tab Manager Pro​

Hành vi:​

• Tự động mở URL khi start Chrome​
• Điều hướng user → site độc hại​
• Dùng làm entry point cho attack chain​

Đây là dấu hiệu của một chiến dịch quy mô và có tổ chức, các tiện ích độc hại được ngụy trang dưới nhiều hình thức khác nhau, từ công cụ Telegram như Telegram Multi-account, Web Client for Telegram - Teleside, cho tới các ứng dụng giải trí như Formula Rush Racing Game hay các tiện ích hỗ trợ YouTube, TikTok và dịch thuật. Dù khác tên gọi và chức năng bề ngoài, toàn bộ các extension này đều kết nối về cùng một hệ thống máy chủ điều khiển, cho thấy đây là một chiến dịch tấn công có tổ chức quy mô lớn.​

Rủi ro và hậu quả​

Việc cài đặt các tiện ích độc hại này có thể dẫn đến nhiều hậu quả nghiêm trọng. Người dùng có nguy cơ bị đánh cắp thông tin cá nhân, tài khoản Google hoặc các phiên đăng nhập quan trọng. Trong trường hợp bị chiếm quyền Telegram, toàn bộ nội dung trao đổi có thể bị lộ hoặc bị lợi dụng cho các mục đích lừa đảo.

Không dừng lại ở đó, việc bị chèn mã JavaScript vào mọi trang web còn có thể khiến người dùng trở thành mục tiêu của các cuộc tấn công sâu hơn, như phát tán mã độc hoặc đánh cắp thông tin tài chính.​

Khuyến nghị và biện pháp phòng tránh​

Trước mối đe dọa này, các chuyên gia khuyến cáo người dùng cần đặc biệt thận trọng khi cài đặt tiện ích trình duyệt, kể cả từ cửa hàng chính thức. Những extension không rõ nguồn gốc, ít đánh giá hoặc yêu cầu quyền truy cập quá mức cần được xem xét kỹ lưỡng trước khi sử dụng.

Người dùng đã cài đặt các tiện ích nghi ngờ cần gỡ bỏ ngay lập tức và tiến hành kiểm tra lại toàn bộ tài khoản liên quan. Đối với Telegram, nên đăng xuất khỏi tất cả các phiên đăng nhập từ thiết bị khác thông qua ứng dụng di động để đảm bảo an toàn.

Ngoài ra, việc thường xuyên rà soát danh sách extension, hạn chế cấp quyền không cần thiết và sử dụng các giải pháp bảo mật bổ sung sẽ giúp giảm thiểu nguy cơ bị tấn công.​