Các nhà nghiên cứu đến từ công ty tình báo mối đe dọa DomainTools (Mỹ) cho biết: “Kẻ tấn công tạo ra các trang web ngụy trang thành các dịch vụ hợp pháp, trợ lý phân tích hoặc tạo quảng cáo và phương tiện truyền thông, dịch vụ VPN, tiền điện tử, ngân hàng,… để hướng dẫn người dùng cài đặt tiện ích mở rộng độc hại tương ứng trên cửa hàng Chrome Web Storte của Google (CWS)”.
Mặc dù các tiện ích bổ sung cho trình duyệt dường như cung cấp các tính năng được quảng cáo, nhưng chúng cũng cho phép đánh cắp thông tin đăng nhập và cookie, chiếm quyền điều khiển phiên, chèn quảng cáo, chuyển hướng độc hại, thao túng lưu lượng truy cập và phishing.
Một yếu tố khác có lợi cho tiện ích mở rộng là chúng được cấu hình để tự cấp cho mình các quyền quá mức thông qua tệp manifest[.]json, cho phép chúng tương tác với mọi trang web được truy cập trên trình duyệt, thực thi mã tùy ý lấy từ tên miền do kẻ tấn công kiểm soát, thực hiện chuyển hướng độc hại và thậm chí chèn quảng cáo.
Các nhà nghiên cứu cũng phát hiện ra rằng các tiện ích mở rộng này dựa vào trình xử lý sự kiện “onreset” trên DOM tạm thời để thực thi mã, có thể là nhằm mục đích bỏ qua chính sách bảo mật nội dung (CSP).
Một số trang web được xác định mạo danh các sản phẩm và dịch vụ hợp pháp như DeepSeek, Manus, DeBank, FortiVPN và Site Stats, để dụ người dùng tải xuống và cài đặt tiện ích mở rộng. Sau đó, các tiện ích này sẽ thu thập cookie của trình duyệt, lấy các tập lệnh tùy ý từ máy chủ từ xa, thiết lập kết nối WebSocket để hoạt động như một proxy mạng để định tuyến lưu lượng truy cập.
Hiện tại vẫn chưa rõ nạn nhân bị chuyển hướng đến các trang web giả mạo như thế nào, nhưng DomainTools cho biết việc này có thể liên quan đến các phương pháp thông thường như kỹ nghệ xã hội.
“Vì các tiện ích độc hại xuất hiện trong cả CWS và có các trang web liền kề, chúng có thể trả về kết quả trong các tìm kiếm web thông thường và cho các tìm kiếm trong Chrome store”, các nhà nghiên cứu cho biết.
Nhiều trang web đã sử dụng ID theo dõi Facebook, điều này cho thấy rõ ràng là chúng đang tận dụng các ứng dụng Facebook/Meta theo một cách nào đó để thu hút khách truy cập trang web. Có thể thông qua các trang Facebook, nhóm và thậm chí là quảng cáo.
Tính đến thời điểm hiện tại, vẫn chưa xác định tác nhân nào đứng sau chiến dịch này, mặc dù những kẻ tấn công đã thiết lập hơn 100 trang web giả mạo và tiện ích mở rộng Chrome độc hại. Về phần mình, Google đã gỡ bỏ các tiện ích mở rộng này.
Để giảm thiểu rủi ro, người dùng được khuyến cáo nên sử dụng các nhà phát triển đã được xác minh trước khi tải tiện ích mở rộng, xem xét các quyền được yêu cầu, kiểm tra kỹ các đánh giá và không sử dụng các tiện ích mở rộng tương tự. Tuy nhiên, người dùng cũng cần lưu ý rằng xếp hạng có thể bị thao túng và tăng cao một cách giả tạo bằng cách lọc phản hồi tiêu cực của mình.
Trong một phân tích được công bố vào cuối tháng 4, DomainTools đã tìm thấy bằng chứng về các tiện ích mở rộng giả mạo DeepSeek, chuyển hướng người dùng đánh giá thấp (1-3 sao) đến biểu mẫu phản hồi riêng tư trên tên miền ai-chat-bot[.]pro, trong khi chuyển hướng những người đánh giá cao (4-5 sao) đến trang đánh giá chính thức của CWS.