Tất cả các tiện ích này đều tồn tại một tính năng độc hại nguy hiểm, đó là theo dõi mọi hoạt động của người dùng trong trình duyệt, mỗi trang web mà người dùng truy cập thì tiện ích sẽ gửi URL của trang web đó đến một máy chủ từ xa và có thể chèn mã vào các trang web thương mại điện tử đang được truy cập. Hành động này sửa đổi cookie trên trang web để tin tặc nhận được thanh toán liên kết cho bất kỳ mặt hàng nào mà người dùng đã mua.
Các tiện ích mở rộng độc hại mà các nhà nghiên cứu của McAfee đã phát hiện bao gồm:
Tên tiện ích độc hại |
ID mở rộng |
Số lượt tải xuống |
Netflix Party |
mmnbenehknklpbendgmgngeaignppnbe |
800.000 |
Netflix Party 2 |
flijfnhifgdcbhglkneplegafminjnhn |
300.000 |
FlipShope – Price Tracker Extension |
adikhbfjdbjkhelbdnffogkobkekkkej |
80.000 |
Full Page Screenshot Capture – Screenshotting |
pojgkmkfincpdkdgjepkmdekcahmckjp |
200.000 |
AutoBuy Flash Sales |
gbnahglfafmhaehbdmjedfhdmimjcbed |
20.000 |
Phân tích hành vi đánh cắp dữ liệu
Theo báo cáo của McAfee, tất cả 5 tiện ích mở rộng được phát hiện này đều có hành vi hoạt động tương tự. Bài viết sẽ gửi tới quý độc giả phân tích kỹ thuật hoạt động của tiện ích phổ biến nhất là Netflix Party với 800.000 lượt cài đặt.
Tệp Manifest[.]json
Manifest[.]json là một tệp kê khai ứng dụng web (manifest) quy định cách thức hoạt động của tiện ích mở rộng trên hệ thống, nó đặt trang nền là “bg.html”. Tệp HTML này sẽ tải một tập lệnh đa chức năng (B0[.]js), chịu trách nhiệm gửi dữ liệu duyệt web (URL mà người dùng đang truy cập) để đưa mã vào các trang web thương mại điện tử.
Hình 1. Tệp kê khai quy định cách thức hoạt động của tiện ích mở rộng trên hệ thống
Tệp B0[.]js
Tập lệnh B0[.]js chứa nhiều hàm. Trong nội dung của bài viết sẽ tập trung vào các chức năng chịu trách nhiệm gửi các URL đã truy cập đến máy chủ và xử lý phản hồi.
Tiện ích mở rộng của Chrome hoạt động bằng cách đăng ký các sự kiện, sau đó chúng sử dụng làm trình kích hoạt để thực hiện một hoạt động nhất định. Các tiện ích mở rộng được phân tích và đăng ký các sự kiện thông qua tính năng “chrome.tabs.onUpdated”, nó sẽ kích hoạt khi người dùng điều hướng đến URL mới trong tab (khi tab được cập nhật). Khi sự kiện này kích hoạt, tiện ích sẽ đặt một biến được gọi là “curl” với URL của tab bằng cách sử dụng biến “tab.url”. Nó tạo ra một số biến khác, sau đó được gửi đến địa chỉ “https://d[.]langhort[.]com” (tên miền do tin tặc kiểm soát).
Hình 2. Sử dụng chrome.tabs.onUpdated
Dữ liệu POST sau đó sẽ có định dạng như trong Hình 3 với một số biến như:
Hình 3. Định dạng dữ liệu POST khi người dùng truy cập vào một URL mới
Các thông tin như quốc gia, thành phố, mã zip,… được thu thập thông qua “ip-api[.]com” được hiển thị trong Hình 4.
Hình 4. Chức năng trích xuất dữ liệu người dùng và thông tin thu thập được hiển thị
Khi nhận được URL, langhort[.]com sẽ kiểm tra xem nó có khớp với bất kỳ mục nào trên danh sách các trang web mà tin tặc có liên kết đang hoạt động, máy chủ sẽ phản hồi B0[.]js bằng một trong hai hàm “passf_url” và “setCookie”.
Hình 5. Định dạng JSON của dữ liệu trả về, trong đó có 2 hàm passf_url và setcookie
Trong Hình 5, dữ liệu trả về có định dạng JSON. Phản hồi được kiểm tra bằng cách sử dụng “passf_url” và “setCookie”, sẽ gọi các hàm khác tùy thuộc vào phản hồi chứa những gì.
Thứ nhất, nếu kết quả phản hồi là “result[‘c’]” thì tiện ích mở rộng sẽ truy vấn URL được trả về. Sau đó, các tiện ích sẽ kiểm tra phản hồi và nếu trạng thái là 200 hoặc 404, nó sẽ kiểm tra xem truy vấn có phản hồi bằng URL hay không. Nếu có thì sẽ chèn URL nhận được từ máy chủ dưới dạng iframe trên trang web đang được truy cập.
Hình 6. Khai báo của hàm passf_url
Thứ hai, nếu kết quả phản hồi là “result[‘e’]” thì phần mở rộng sẽ chèn kết quả dưới dạng cookie và ra lệnh cho B0[.]js sửa đổi hoặc thay thế nó bằng cookie được cung cấp nếu tiện ích mở rộng đã được cấp các quyền liên quan để thực hiện hành động này.
Hình 7. Khai báo của hàm setCookie
Trì hoãn thời gian để tránh bị phát hiện
Để tránh bị phát hiện, phân tích và gây nhầm lẫn cho các nhà nghiên cứu cũng như sự cảnh giác đến từ người dùng, một số tiện ích mở rộng có tính năng trì hoãn 15 ngày kể từ thời điểm cài đặt trước khi chúng bắt đầu thực hiện các hoạt động trên trình duyêt.
Hình 8. Một số tiện ích mở rộng đợi 15 ngày sau khi cài đặt mới thực hiện hoạt động để tránh bị phát hiện
Kết luận
McAfee khuyến cáo người dùng nên thận trọng khi cài đặt các tiện ích mở rộng của Chrome và chú ý đến các quyền được yêu cầu. Các quyền sẽ được Chrome hiển thị trước khi cài đặt tiện ích mở rộng, vì vậy người dùng nên thực hiện thêm các bước để xác minh tính xác thực nếu tiện ích đang yêu cầu quyền cho phép nó chạy trên mọi trang web mà người dùng truy cập.
Hiện tại, 2 tiện ích mở rộng của Netflix Party cùng với AutoBuy Flash Sales đã bị xóa khỏi cửa hàng Chrome Web Store, nhưng điều này không xóa chúng khỏi trình duyệt web. Các tiện ích còn lại vẫn đang hoạt động, thậm chí tiện ích Full Page Screenshot Capture đang được gắn nhãn “Nổi bật” (Featured) trên cửa hàng ứng dụng. Vì vậy, nếu như đã cài đặt bất kỳ những tiện ích nào trong số này, người dùng nên thực hiện thao tác thủ công để gỡ bỏ chúng ngay lập tức.
Hồng Đạt
(Tổng hợp)
14:00 | 21/11/2022
09:00 | 09/08/2022
16:00 | 19/10/2022
09:00 | 22/04/2022
16:00 | 16/12/2022
13:00 | 26/10/2022
11:00 | 19/04/2023
08:00 | 18/04/2022
13:00 | 04/06/2021
22:00 | 15/08/2022
09:00 | 01/04/2024
Mới đây, các nhà nghiên cứu của nhóm bảo mật Unit42 tới từ công ty an ninh mạng Palo Alto Networks (Mỹ) cho biết một số nhóm tin tặc APT có liên kết với Trung Quốc đã được quan sát nhắm mục tiêu vào các thực thể và các nước thành viên của Hiệp hội các quốc gia Đông Nam Á (ASEAN), như một phần của chiến dịch gián điệp mạng kéo dài trong ba tháng qua.
07:00 | 15/02/2024
Theo thống kê của mạng lưới an ninh Kaspersky Security Network (KSN), số lượng người dùng Việt Nam bị ảnh hưởng bởi các mối đe dọa ngoại tuyến giảm đến 57% trong 4 năm qua. Tuy nhiên, con số này vẫn dẫn đầu khu vực Đông Nam Á.
08:00 | 24/01/2024
Chiều 22/01, tại Hà Nội, Bộ Tổng Tham mưu Quân đội nhân dân Việt Nam đã tổ chức Hội nghị ngành Cơ yếu Quân đội triển khai nhiệm vụ năm 2024. Thượng tướng Huỳnh Chiến Thắng, Ủy viên Trung ương Đảng, Phó Tổng Tham mưu trưởng Quân đội nhân dân Việt Nam dự và chỉ đạo Hội nghị.
13:00 | 17/01/2024
Trong nội dung "Điểm tin tuần", Cục An toàn thông tin (Bộ Thông tin và Truyền thông) đã tổng hợp một số thông tin nổi bật về lừa đảo trực tuyến tại Việt Nam trong tuần qua (01/01 – 07/01/2023).
Đoàn Công tác số 8 đi thăm các chiến sĩ và nhân dân trên quần đảo Trường Sa đã thành công tốt đẹp. Hành trình để lại nhiều cảm xúc với các thành viên đoàn công tác nhất là khi tham dự những buổi Lễ đặc biệt như: Lễ Giỗ Tổ Hùng Vương, Lễ dâng hương tưởng niệm các anh hùng liệt sĩ hi sinh khi làm nhiệm vụ trên quần đảo Trường Sa, Lễ chào cờ trên đảo Trường Sa.
11:00 | 26/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Ngày 18/4, Meta thông báo triển khai trợ lý AI thông minh nhất hiện nay - Meta AI miễn phí cho các nền tảng của mình. Theo CEO Meta Mark Zuckerberg, trợ lý có thể trả lời câu hỏi, tạo hình ảnh cho người dùng. Meta AI được xây dựng dựa trên mô hình ngôn ngữ lớn mới nhất của hãng mang tên Llama 3.
14:00 | 25/04/2024