Nguồn: TheHackerNews
Một chiến dịch tấn công mới đã nhắm vào các tiện ích mở rộng trình duyệt Chrome đã biết, khiến ít nhất 16 tiện ích mở rộng bị xâm phạm và khiến hơn 600.000 người dùng bị lộ dữ liệu và đánh cắp thông tin đăng nhập.
Cuộc tấn công nhắm vào các nhà xuất bản tiện ích mở rộng trình duyệt trên Chrome Web Store thông qua một chiến dịch lừa đảo và sử dụng quyền truy cập của họ để chèn mã độc vào các tiện ích mở rộng hợp pháp nhằm đánh cắp cookie và mã thông báo truy cập của người dùng.
Công ty đầu tiên trở thành nạn nhân của chiến dịch này là công ty an ninh mạng Cyberhaven, một trong những nhân viên của công ty đã bị tấn công lừa đảo vào ngày 24 tháng 12, cho phép các tác nhân đe dọa phát hành phiên bản độc hại của tiện ích mở rộng.
Vào ngày 27 tháng 12, Cyberhaven tiết lộ rằng một tác nhân đe dọa đã xâm phạm tiện ích mở rộng trình duyệt của công ty và đưa mã độc vào để giao tiếp với máy chủ chỉ huy và kiểm soát (C&C) bên ngoài nằm trên tên miền cyberhavenext[.]pro, tải xuống các tệp cấu hình bổ sung và đánh cắp dữ liệu người dùng.
Email lừa đảo, được cho là đến từ Google Chrome Web Store Developer Support, đã cố gắng tạo ra cảm giác cấp bách giả tạo bằng cách tuyên bố rằng tiện ích mở rộng của họ sắp bị xóa khỏi kho tiện ích mở rộng vì vi phạm Chính sách chương trình dành cho nhà phát triển.
Email này cũng thúc giục người nhận nhấp vào liên kết để chấp nhận các chính sách, sau đó họ được chuyển hướng đến trang cấp quyền cho ứng dụng OAuth độc hại có tên là “Privacy Policy Extension”.
“Kẻ tấn công đã có được các quyền cần thiết thông qua ứng dụng độc hại (‘Privacy Policy Extension’) và tải tiện ích mở rộng Chrome độc hại lên Chrome Web Store”, Cyberhaven cho biết. “Sau quy trình đánh giá Bảo mật Chrome Web Store thông thường, tiện ích mở rộng độc hại đã được chấp thuận để xuất bản”.
“Tiện ích mở rộng trình duyệt là phần mềm bảo mật web”, Or Eshed, Giám đốc điều hành của LayerX Security, chuyên về bảo mật tiện ích mở rộng trình duyệt, cho biết. “Mặc dù chúng ta có xu hướng nghĩ rằng tiện ích mở rộng của trình duyệt là vô hại, nhưng trên thực tế, chúng thường được cấp quyền rộng rãi đối với thông tin nhạy cảm của người dùng như cookie, mã thông báo truy cập, thông tin nhận dạng, v.v.
“Nhiều tổ chức thậm chí không biết họ đã cài đặt tiện ích mở rộng nào trên các điểm cuối của mình và không biết mức độ tiếp xúc của chúng”, Eshed cho biết.
Sau khi tin tức về vụ vi phạm Cyberhaven nổ ra, các tiện ích mở rộng bổ sung cũng bị xâm phạm và giao tiếp với cùng một máy chủ C&C đã nhanh chóng được xác định.
Jamie Blasco, Giám đốc công nghệ của công ty bảo mật SaaS Nudge Security, đã xác định các miền bổ sung phân giải đến cùng một địa chỉ IP của máy chủ C&C được sử dụng cho vụ vi phạm Cyberhaven.
Cuộc điều tra sâu hơn đã phát hiện ra nhiều tiện ích mở rộng hơn [Google Trang tính] bị nghi ngờ đã bị xâm phạm, theo nền tảng bảo mật tiện ích mở rộng của trình duyệt Secure Annex:
- Trợ lý AI – ChatGPT và Gemini cho Chrome
- Tiện ích mở rộng trò chuyện AI Bard
- Tóm tắt GPT 4 với OpenAI
- Trợ lý AI Search Copilot cho Chrome
- Trợ lý AI TinaMInd
- Trợ lý AI Wayin
- VPNCity
- VPN Internxt
- Video Vindoz Flex Recorder
- VidHelper Video Downloader
- Bookmark Favicon Changer
- Castorus
- Uvoice
- Reader Mode
- Parrot Talks
- Primus
- Tackker – công cụ keylogger trực tuyến
- AI Shop Buddy
- Sắp xếp theo Cũ nhất
- Rewards Search Automator
- ChatGPT Assistant – Tìm kiếm thông minh
- Keyboard History Recorder
- Email Hunter
- Visual Effects cho Google Meet
- Earny – Hoàn tiền lên đến 20%
Những tiện ích mở rộng bị xâm phạm bổ sung này cho thấy Cyberhaven không phải là mục tiêu một lần mà là một phần của chiến dịch tấn công trên diện rộng nhắm vào các tiện ích mở rộng trình duyệt hợp pháp.
Người sáng lập Secure Annex, John Tuckner, nói với The Hacker News rằng có khả năng chiến dịch này đã diễn ra từ ngày 5 tháng 4 năm 2023 và thậm chí có thể còn diễn ra lâu hơn nữa dựa trên ngày đăng ký của các tên miền được sử dụng: nagofsg[.]com được đăng ký vào tháng 8 năm 2022 và sclpfybn[.]com được đăng ký vào tháng 7 năm 2021.
“Tôi đã liên kết cùng một mã có trong các cuộc tấn công Cyberhaven với mã liên quan (giả sử là Code1) trong một tiện ích mở rộng có tên là ‘Reader Mode'”, Tuckner cho biết. “Mã trong ‘Reader Mode’ chứa mã tấn công Cyberhaven (Code1) và một chỉ báo bổ sung về sự xâm phạm “sclpfybn[.]com” với mã bổ sung của riêng nó (Code2).”
“Việc xoay quanh tên miền đó đã dẫn tôi đến bảy tiện ích mở rộng mới. Một trong những tiện ích mở rộng liên quan đó có tên là “Rewards Search Automator” có (Code2) tự ngụy trang thành chức năng ‘duyệt an toàn’ nhưng lại đang đánh cắp dữ liệu.”
“‘Rewards Search Automator’ cũng chứa chức năng ‘thương mại điện tử’ được che giấu (Code3) với tên miền mới ‘tnagofsg[.]com’ có chức năng cực kỳ giống với ‘safe-browsing’. Khi tìm kiếm thêm trên tên miền này, tôi tìm thấy ‘Earny – Hoàn tiền lên đến 20%’ vẫn có mã ‘thương mại điện tử’ trong đó (Code3) và được cập nhật lần cuối vào ngày 5 tháng 4 năm 2023.”
Phân tích Cyberhaven bị xâm phạm cho thấy mã độc nhắm mục tiêu vào dữ liệu danh tính và mã thông báo truy cập của tài khoản Facebook, và cụ thể là tài khoản doanh nghiệp Facebook:
Cyberhaven cho biết phiên bản độc hại của tiện ích mở rộng trình duyệt đã bị xóa khoảng 24 giờ sau khi nó được phát hành. Một số tiện ích mở rộng khác bị phát hiện cũng đã được cập nhật hoặc xóa khỏi Cửa hàng Chrome trực tuyến.
Tuy nhiên, việc tiện ích mở rộng bị xóa khỏi cửa hàng Chrome không có nghĩa là việc phát hiện đã kết thúc, Or Eshed cho biết. “Miễn là phiên bản bị xâm phạm của tiện ích mở rộng vẫn còn trên điểm cuối, tin tặc vẫn có thể truy cập và đánh cắp dữ liệu”, ông nói.
Các nhà nghiên cứu bảo mật đang tiếp tục tìm kiếm thêm các tiện ích mở rộng bị phát hiện, nhưng mức độ tinh vi và phạm vi của chiến dịch tấn công này đã khiến nhiều tổ chức phải tăng cường bảo mật tiện ích mở rộng trình duyệt của họ.
Hiện tại, vẫn chưa rõ ai đứng sau chiến dịch này và liệu những vụ xâm phạm này có liên quan đến nhau hay không. Hacker News đã liên hệ với Google để xin thêm bình luận và chúng tôi sẽ cập nhật câu chuyện nếu nhận được phản hồi.
