Phát hiện hơn 100 tiện ích Chrome độc hại: Đánh cắp tài khoản Google và Telegram của hàng chục nghìn người

Các tiện ích mở rộng (extensions) trên trình duyệt Chrome vốn là công cụ đắc lực giúp chúng ta làm việc và giải trí hiệu quả hơn. Tuy nhiên, đằng sau vẻ ngoài hữu ích đó đôi khi lại là những cái bẫy tinh vi. Mới đây, các chuyên gia an ninh mạng đã lật tẩy một chiến dịch quy mô lớn, sử dụng hàng loạt tiện ích độc hại để tấn công người dùng.

Quy mô tấn công và những "vỏ bọc" tinh vi

Theo báo cáo từ Socket, có tổng cộng 108 tiện ích mở rộng trên Chrome đã bị phát hiện có hành vi đánh cắp dữ liệu. Đáng chú ý, dù được phát hành dưới 5 cái tên nhà phát triển khác nhau (bao gồm: Yana Project, GameGen, SideGames, Rodeo Games và InterAlt), nhưng thực tế tất cả đều kết nối về một hệ thống máy chủ điều khiển chung.

Chiến dịch này đã lừa được khoảng 20.000 người dùng cài đặt thông qua Chrome Web Store. Để lấy lòng tin, nhóm tấn công đã ngụy trang các mã độc này dưới nhiều hình thức đa dạng như:

• Các trò chơi giải trí (đua xe, máy xèng, Keno).

• Công cụ hỗ trợ mạng xã hội (tiện ích bổ trợ cho YouTube, TikTok hoặc thanh bên cho Telegram).

• Ứng dụng dịch thuật và các công cụ tối ưu hóa website.

Cách thức mã độc hoạt động và chiếm đoạt thông tin

Dù mang danh nghĩa là công cụ hỗ trợ, nhưng khi được kích hoạt, các tiện ích này sẽ âm thầm thực hiện các hành vi xâm phạm quyền riêng tư nghiêm trọng. Cụ thể:

• Tấn công tài khoản Google: 54 tiện ích trong danh sách này chuyên đánh cắp thông tin đăng nhập Google (thông qua giao thức OAuth2), bao gồm cả email, họ tên và ảnh đại diện của nạn nhân.

• Chiếm quyền điều khiển Telegram: Một số tiện ích có khả năng trích xuất mã xác thực của Telegram Web mỗi 15 giây một lần. Thậm chí, chúng còn có thể ghi đè dữ liệu để thay thế phiên đăng nhập của người dùng bằng tài khoản do kẻ tấn công kiểm soát.

• Vô hiệu hóa bảo mật trình duyệt: Nhiều tiện ích đã tự ý loại bỏ các lớp bảo vệ (security headers) của các trang web lớn như YouTube hay TikTok. Mục đích là để chèn thêm các đoạn mã quảng cáo cờ bạc hoặc các kịch bản JavaScript độc hại vào trang web mà người dùng đang truy cập.

• Theo dõi hành vi: Mọi yêu cầu dịch thuật hoặc dữ liệu duyệt web đều có thể bị chuyển hướng qua máy chủ của kẻ tấn công để thu thập thông tin.

Ngoài ra, gần một nửa số tiện ích này (45 cái) còn chứa "cửa sau" (backdoor), cho phép kẻ xấu tự động mở bất kỳ trang web nào ngay khi người dùng vừa khởi động trình duyệt.

Những dấu vết để lại và danh tính kẻ đứng sau

Qua phân tích mã nguồn, các nhà nghiên cứu tìm thấy nhiều đoạn chú thích được viết bằng tiếng Nga. Toàn bộ 108 tiện ích này đều gửi dữ liệu về một địa chỉ IP máy chủ duy nhất (144.126.135[.]238). Mặc dù danh tính chính xác của nhóm tin tặc vẫn chưa được xác định, nhưng các bằng chứng cho thấy đây là một chiến dịch có tổ chức và sử dụng chung hạ tầng kỹ thuật.

Một số cái tên điển hình trong danh sách độc hại này bao gồm: Telegram Multi-account, Web Client for Telegram - Teleside, và trò chơi Formula Rush Racing Game.

Người dùng cần làm gì để bảo vệ mình?

Nếu bạn nghi ngờ mình đã cài đặt một trong những tiện ích thuộc các nhà phát triển nêu trên, hãy thực hiện ngay các bước sau để đảm bảo an toàn:

1. Gỡ bỏ ngay lập tức: Truy cập vào phần quản lý tiện ích trên Chrome và xóa bỏ các ứng dụng không rõ nguồn gốc hoặc nằm trong danh sách cảnh báo.

2. Đăng xuất các phiên làm việc từ xa: Đối với người dùng Telegram, hãy vào ứng dụng trên điện thoại, kiểm tra danh sách các thiết bị đang đăng nhập và chọn đăng xuất khỏi tất cả các phiên Telegram Web.

3. Kiểm tra lại bảo mật tài khoản: Thay đổi mật khẩu và kiểm tra lại các quyền truy cập ứng dụng của tài khoản Google để đảm bảo không có bên thứ ba nào đang âm thầm thu thập dữ liệu của bạn.

Việc cảnh giác với các tiện ích mở rộng, ngay cả khi chúng có mặt trên cửa hàng chính thức, là điều cực kỳ cần thiết trong bối cảnh các cuộc tấn công mạng ngày càng tinh vi như hiện nay.

Tham khảo: The Hacker News