Tiện ích mở rộng Roblox, RoFinder và RoTracker

Vào tháng 11/2022, hai tiện ích mở rộng độc hại có cùng tên là SearchBlox đã được phát hiện trong cửa hàng Chrome trực tuyến - cửa hàng chính thức dành cho các tiện ích mở rộng của trình duyệt Google Chrome. Một trong những tiện ích này đã có hơn 200.000 lượt tải xuống.

Tuyên bố thông tin của các tiện ích mở rộng này là tìm kiếm một người chơi cụ thể trên máy chủ Roblox. Tuy nhiên, mục đích thực sự của người phát triển là chiếm đoạt tài khoản của người chơi Roblox và đánh cắp tài sản trong trò chơi của họ. Sau khi thông tin về các tiện ích mở rộng độc hại này được công bố, chúng đã bị xóa khỏi Cửa hàng Chrome trực tuyến và tự động bị xóa trên thiết bị của người dùng đã cài đặt.

Hình 1. Tiện ích mở rộng độc hại SearchBlox

Vào tháng 8/2023, hai tiện ích mở rộng độc hại khác có tính chất tương tự là RoFinder và RoTracker đã được phát hiện trong cửa hàng Chrome trực tuyến. Cũng giống như SearchBlox, các plugin này cung cấp cho người dùng khả năng tìm kiếm những người chơi khác trên máy chủ Roblox, nhưng trên thực tế, chúng đã tích hợp một backdoor. Cộng đồng người dùng Roblox cuối cùng cũng đã xóa được các tiện ích mở rộng này.

Hình 2. Tiện ích mở rộng độc hại RoTracker

Điều này cho thấy, chất lượng kiểm duyệt trong cửa hàng ứng dụng của Chrome còn nhiều vấn đề và thật dễ dàng để các tác nhân đe dọa chèn các phần mềm độc hại và phân phối thông qua các tiện ích mở rộng. Để yêu cầu bộ phận kiểm duyệt phát hiện các tiện ích mở rộng nguy hiểm và xóa chúng khỏi cửa hàng, đánh giá từ người dùng bị ảnh hưởng là không đủ, công việc này thường đòi hỏi nỗ lực từ giới truyền thông, các nhà nghiên cứu bảo mật và cộng đồng trực tuyến lớn.

Tiện ích mở rộng ChatGPT giả mạo chiếm quyền điều khiển tài khoản Facebook

Vào tháng 3/2023, hai tiện ích mở rộng độc hại đã được phát hiện trong cửa hàng Google Chrome trực tuyến chỉ cách nhau vài ngày, cả hai đều lợi dụng sự phổ biến và những lợi ích mà dịch vụ ChatGPT mang lại. Một trong số đó là phiên bản giả mạo chèn mã độc của tiện ích mở rộng hợp pháp “ChatGPT for Google”, cung cấp khả năng tích hợp các phản hồi của ChatGPT vào kết quả của công cụ tìm kiếm.

Tiện ích “ChatGPT for Google” độc hại đã được tải lên cửa hàng Chrome trực tuyến vào ngày 14/2/2023. Người phát triển đã đợi một thời gian và chỉ bắt đầu tích cực phát tán tiện ích này đúng một tháng sau đó, vào ngày 14/3/2023, bằng cách sử dụng quảng cáo tìm kiếm của Google (Google Search ads), dẫn đến hơn 9.000 lượt tải xuống vào thời điểm mối đe dọa được phát hiện.

Hình 3. Phiên bản “ChatGPT for Google” độc hại trông giống như phiên bản thật

Bản sao bị lây nhiễm trojan của “ChatGPT for Google” hoạt động giống như phiên bản chính thống nhưng có thêm chức năng độc hại: Phiên bản giả mạo bao gồm mã bổ sung được thiết kế để đánh cắp phiên cookie Facebook được trình duyệt lưu trữ. Bằng cách sử dụng những tệp này, kẻ tấn công có thể chiếm đoạt tài khoản Facebook của những người dùng đã cài đặt tiện ích mở rộng bị nhiễm mã độc.

Các tài khoản bị xâm nhập sau đó có thể được sử dụng cho các mục đích bất hợp pháp. Ví dụ, các nhà nghiên cứu đã đề cập đến trường hợp của một tài khoản Facebook có tên là “Lily Collins”, tài khoản này đã bị đánh cắp và tiến hành quảng bá các nội dung thông tin về tổ chức khủng bố IS.

Hình 4. Tài khoản Facebook bị tấn công quảng bá nội dung về tổ chức IS

Trong trường hợp khác, những kẻ lừa đảo đã tạo một tiện ích mở rộng hoàn toàn mới có tên “Quick access to Chat GPT”. Trên thực tế, tiện ích mở rộng này đóng vai trò trung gian giữa người dùng và ChatGPT bằng API chính thức của dịch vụ AI. Tuy nhiên, mục đích thực sự của nó là đánh cắp phiên cookie Facebook, cho kẻ tấn công có thể chiếm đoạt tài khoản doanh nghiệp trên Facebook.

Hình 5. Tiện ích mở rộng độc hại “Quick access to Chat GPT”

Điều thú vị để khiến tiện ích mở rộng độc hại này trở nên phổ biến, thủ phạm đã sử dụng quảng cáo trên Facebook thông qua các tài khoản doanh nghiệp mà chúng đã chiếm đoạt. Kế hoạch xảo quyệt này đã thu hút được vài nghìn người dùng mới mỗi ngày. Cuối cùng, cả hai tiện ích mở rộng độc hại đều bị xóa khỏi cửa hàng Chrome trực tuyến.

Phát tán tiện ích mở rộng độc hại bằng ChromeLoader

Ngoài việc chèn các tiện ích mở rộng độc hại trong cửa hàng Google Chrome trực tuyến thì các tin tặc cũng có thể phân phối theo những cách khác. Ví dụ vào đầu năm nay, các nhà nghiên cứu nhận thấy một chiến dịch độc hại mới liên quan đến phần mềm độc hại ChromeLoader, vốn đã nổi tiếng trong lĩnh vực an ninh mạng. Mục đích chính của Trojan này là cài đặt một tiện ích mở rộng độc hại trong trình duyệt của nạn nhân.

Tiện ích mở rộng này hiển thị các quảng cáo xâm nhập trong trình duyệt và giả mạo kết quả tìm kiếm với các liên kết dẫn đến quà tặng giải thưởng giả mạo, nội dung khảo sát, trang web hẹn hò,…

Năm nay, những kẻ tấn công đã sử dụng nhiều nội dung vi phạm bản quyền làm mồi nhử để khiến nạn nhân cài đặt ChromeLoader. Ví dụ vào tháng 02/2023, các nhà nghiên cứu đã báo cáo về sự lây lan của ChromeLoader thông qua tệp VHD (một định dạng ảnh đĩa) được ngụy trang dưới dạng trò chơi đã bị tấn công mạng hoặc trò chơi bẻ khóa (crack). Trong số các trò chơi được những kẻ tấn công sử dụng có Elden Ring, ROBLOX, Dark Souls 3, Red Dead Redemption 2, Need for Speed, Call of Duty, Portal 2, Minecraft, Legend of Zelda, Pokemon, Mario Kart, Animal Crossing,... Tất cả các tệp VHD này đều chứa trình cài đặt tiện ích mở rộng độc hại.

Đến tháng 6/2023, các nhà nghiên cứu tới từ nhóm bảo mật HP Wolf Security đã công bố một báo cáo chi tiết về các hoạt động của ChromeLoader, nêu chi tiết về cách phần mềm độc hại này lan truyền qua mạng lưới các trang web cung cấp nhạc, trang phim lậu và trò chơi máy tính. Trong chiến dịch này, các tệp VBScript đã được tải xuống máy tính của nạn nhân, sau đó tải và cài đặt tiện ích mở rộng trình duyệt độc hại.

Hình 6. Một trong những trang web đã phát tán phần mềm độc hại ChromeLoader dưới vỏ bọc nội dung vi phạm bản quyền

Mặc dù kết quả tìm kiếm bị thay đổi nhanh chóng cảnh báo nạn nhân về sự hiện diện của tiện ích mở rộng nguy hiểm trong trình duyệt của họ nhưng việc loại bỏ nó không dễ dàng như vậy. ChromeLoader không chỉ cài đặt tiện ích mở rộng độc hại mà còn thêm các tập lệnh và tác vụ Windows Task Scheduler vào hệ thống để cài đặt lại tiện ích mở rộng mỗi khi hệ thống khởi động lại.

Tiện ích mở rộng gián điệp đánh cắp nội dung email

Vào tháng 3/2023, Cơ quan Liên bang về bảo vệ Hiến pháp Liên bang Đức và Cơ quan Tình báo quốc gia Hàn Quốc đã ban hành một báo cáo chung về hoạt động của nhóm tội phạm mạng Kimsuky. Nhóm này sử dụng tiện ích mở rộng độc hại trên các trình duyệt dựa trên Chrome như Google Chrome, Microsoft Edge, cũng như trình duyệt Naver Whale của Hàn Quốc để có thể đọc nội dung thư điện tử từ Gmail của nạn nhân.

Cuộc tấn công bắt đầu bằng việc kẻ tấn công gửi email đến các cá nhân mục tiêu cụ thể. Email này chứa liên kết đến tiện ích mở rộng độc hại có tên là AF, cùng với một số văn bản thuyết phục nạn nhân cài đặt tiện ích mở rộng, thành phần độc hại sẽ thực thi khi nạn nhân mở Gmail trên trình duyệt đã cài đặt tiện ích mở rộng này. AF sau đó sẽ tự động gửi nội dung email của nạn nhân đến máy chủ chỉ huy và kiểm soát (C2) của tin tặc.

Do đó, Kimsuky đã giành được quyền truy cập vào hộp thư của nạn nhân. Hơn nữa, các tin tặc không cần dùng bất kỳ kỹ thuật phức tạp nào để xâm phạm vào email, đơn giản chỉ là vượt qua xác thực hai yếu tố. Phương pháp này cho phép các tin tặc thực hiện xâm phạm một cách bí mật, đặc biệt là ngăn Google gửi cảnh báo cho nạn nhân về quyền truy cập tài khoản từ một thiết bị mới hoặc vị trí đáng ngờ, như trường hợp mật khẩu bị đánh cắp.

Rilide: Tiện ích mở rộng độc hại đánh cắp tiền điện tử và bỏ qua xác thực hai yếu tố

Tội phạm mạng cũng thường sử dụng các tiện ích mở rộng độc hại để nhắm mục tiêu vào ví tiền điện tử. Đặc biệt là tiện ích mở rộng Rilide được phát hiện lần đầu vào tháng 4/2023, có chức năng theo dõi hoạt động trình duyệt liên quan đến tiền điện tử trên thiết bị bị nhiễm. Khi nạn nhân truy cập các trang web từ một danh sách cụ thể, Rilide sẽ đánh cắp thông tin ví tiền điện tử, thông tin đăng nhập email và mật khẩu.

Ngoài ra, tiện ích mở rộng này còn thu thập và gửi lịch sử trình duyệt đến máy chủ C2 và cho phép kẻ tấn công chụp ảnh màn hình. Nhưng tính năng thú vị nhất của Rilide là khả năng vượt qua xác thực hai yếu tố.

Khi Rilide phát hiện người dùng sắp thực hiện giao dịch tiền điện tử trên một trong các dịch vụ trực tuyến, nó sẽ chèn một tập lệnh vào trang thay thế hộp thoại nhập mã xác nhận, sau đó đánh cắp mã đó. Ví của người nhận thanh toán được thay thế bằng ví của kẻ tấn công và cuối cùng, tiện ích mở rộng xác nhận giao dịch bằng mã bị đánh cắp.

Hình 7. Tiện ích mở rộng độc hại Rilide được quảng bá trên X (Twitter)

Rilide tấn công người dùng trình duyệt dựa trên Chrome, bao gồm: Chrome, Edge, Brave và Opera, bằng cách bắt chước một tiện ích mở rộng hợp pháp của Google Drive để tránh bị nghi ngờ. Rilide dường như được bán tự do trên thị trường web đen, vì vậy nó được sử dụng bởi những tên tội phạm không liên quan đến nhau.

Vì lý do này, nhiều phương thức phân phối đã được phát hiện, từ các trang web và email độc hại cho đến các trình cài đặt trò chơi Blockchain bị lây nhiễm mã độc được quảng bá trên X (Twitter).

Cách bảo vệ trước các tiện ích mở rộng độc hại

Các tiện ích mở rộng trình duyệt nguy hiểm có thể xuất hiện trên máy tính của người dùng từ nhiều nguồn khác nhau, bao gồm cả cửa hàng Google Chrome trực tuyến chính thức. Những kẻ tấn công có thể sử dụng chúng cho nhiều mục đích khác nhau, từ chiếm đoạt tài khoản và thay đổi kết quả tìm kiếm đến đánh cắp tiền điện tử. Theo đó, điều quan trọng là phải chủ động thực hiện các biện pháp phòng ngừa, bao gồm:

- Cố gắng tránh cài đặt các tiện ích mở rộng trình duyệt không cần thiết. Trình duyệt càng có ít tiện ích mở rộng thì càng tốt.

- Nếu cần phải cài đặt tiện ích mở rộng, tốt hơn hết người dùng nên cài đặt tiện ích mở rộng đó từ cửa hàng chính thức thay vì từ một trang web không xác định. Chắc chắn, điều này không loại bỏ hoàn toàn nguy cơ gặp phải các tiện ích mở độc hại, nhưng ít nhất cửa hàng chính thức cũng có các giai đoạn kiểm duyệt bảo mật.

- Trước khi cài đặt, cần đọc các nhận xét về tiện ích mở rộng. Nếu có điều gì không ổn, có thể những người dùng nào đó đã nhận thấy và thông báo cho những người dùng khác.

- Định kỳ xem lại danh sách các tiện ích mở rộng được cài đặt trong trình duyệt. Cần thiết nên xóa mọi thứ không sử dụng - đặc biệt là những tiện ích mà người dùng không nhớ đã cài đặt.

- Đảm bảo sử dụng các giải pháp bảo vệ điểm cuối đáng tin cậy trên tất cả các thiết bị.