Hàng loạt extension của Chrome bị xâm nhập và phát tán quảng cáo và chương trình độc hại
Nếu đang dùng trình duyệt Chrome, bạn hãy kiểm tra xem mình có đang cài đặt các extension dưới đây hay không?
Một vụ tấn công mới của các tin tặc đang diễn ra với các công cụ được lây nhiễm từ một số phần mở rộng (extension) của trình duyệt Chrome.
Kẻ tấn công đã phát triển các công cụ lừa đảo nhằm xâp nhập vào các extension của Chrome để đưa ra các cảnh báo an ninh giả mạo nhằm hù dọa nạn nhân, khiến họ lo sợ và tự sửa chữa máy tính của mình.
Nhà nghiên cứu Proofpoint Kafeine đã xác định sáu tiện ích mở rộng Chrome bị xâm nhập gần đây (sau khi kẻ tấn công lừa đảo được thông tin đăng nhập Tài khoản Google của nhà phát triển).
Danh sách các phần mở rộng bị tấn công bao gồm Web Developer 0.4.9, Chrometana 1.1.3, Infinity New Tab 3.12.3, CopyFish 2.8.5, Web Paint 1.2.1, và Social Fixer 20.1.1 (bị xâm nhập trong tháng 8). Trong khi đó, Kafeine tin rằng TouchVPN và Betternet VPN cũng bị tin tặc xâm nhập hồi tháng 6 năm nay với cùng một kỹ thuật như vậy.
Mục đích chính của cuộc tấn công vào các nhà phát triển tiện ích của Chrome là chuyển hướng người dùng Chrome từ các liên kết quảng cáo hợp pháp sang các chương trình độc hại, cuối cùng là tạo ra tiền cho kẻ tấn công thông qua việc đánh cắp lưu lượng truy cập từ các mạng quảng cáo hợp pháp.
Những kẻ tấn công cũng đã thu thập thông tin của người sử dụng Cloudflare, một dịch vụ sẵn có cho các nhà khai thác trang web. Các chuyên gia dự đoán nó có thể được sử dụng cho các cuộc tấn công trong tương lai.
Các phần mở rộng bị tấn công đã được mã hóa chủ yếu để thay thế quảng cáo biểu ngữ trên các trang web dành cho người lớn (hoặc một số trang web khác) với mục đích ăn cắp lưu lượng truy cập từ các mạng quảng cáo hợp pháp.
Kafeine cho biết: “Trong nhiều trường hợp, nạn nhân đã được gửi các cảnh báo JavaScript giả mạo khiến họ phải sửa chữa máy tính của mình, sau đó chuyển hướng họ tới các chương trình liên kết có thể làm phát sinh lợi nhuận cho kẻ tấn công”.
Ít nhất một trong số các chương trình liên kết nhận được lưu lượng truy cập bị tấn công đã kích hoạt PCKeeper – là một giải pháp mạnh mẽ được thiết kế để giúp cho hệ thống của bạn được an toàn, chạy nhanh hơn và tối ưu hóa máy tính chỉ trong vài bước. Bên cạnh đó, PCKeeper còn là một gói các tiện ích hệ thống quan trọng được sử dụng để tiến hành các nhiệm vụ khác nhau trên máy tính.
Đoạn mã JavaScript trong các tiện ích mở rộng bị xâm nhập cũng đã tải xuống một tệp tin được Cloudflare thiết kế để thu thập thông tin người đăng nhập vào dịch vụ của họ. Cloudflare đã ngừng cung cấp tệp tin này sau khi nhận được cảnh báo từ Proofpoint.
Các email lừa đảo đã làm tổn hại tài khoản Google của nhà phát triển đến từ nhóm Chrome Web Store. Google cho biết các nhà phát triển đã không tuân thủ chính sách của họ và các phần mở rộng này sẽ được gỡ bỏ và chỉ được phục hồi khi vấn đề được khắc phục.
Theo báo cáo gần đây của Bleeping Computer, nhóm bảo mật của Google đã gửi một email cảnh báo đến các nhà phát triển phần mở rộng cho Chrome để thao dõi những cuộc tấn công lừa đảo. Những kẻ tấn công đã tạo ra một bản sao “thuyết phục” trang đăng nhập tài khoản thực của Google.
Đây không phải là lần đầu tiên tiện ích mở rộng của Chrome bị tấn công để quảng bá phần mềm quảng cáo và các mạng liên kết. Một vụ tấn công tương tự cũng đã xảy ra hồi năm 2014.
(Tham khảo: ZDNet)