Sẽ khó mà ngờ rằng những tiện ích mở rộng (extension) hữu ích, thậm chí được "Featured" trên các kho tiện ích của Chrome và Edge với hàng triệu lượt tải lại ẩn chứa mã độc. Đây là một chiến dịch tấn công dài hơi, rất tinh vi do tác nhân đe đọa (threat actor) được cty bảo mật Koi Security đặt tên là ShadyPanda, nguồn gốc Trung Quốc. Trong báo cáo gần đây, Koi Security cho biết: "Sự thành công của ShadyPanda không chỉ nằm ở sự phức tạp của kỹ thuật tấn công mà là khả năng khai thác có hệ thống một lỗ hổng trong suốt 7 năm: Quy trình kiểm duyệt extension của các kho tiện ích. Họ (các trình duyệt) không theo dõi những gì diễn ra sau khi phê duyệt phát hành."
Koi Security đã phát hiện ít nhất 2 chiến dịch vẫn đang hoạt động song song trên 2 trình duyệt Google Chrome và Microsoft Edge. Một chiến dịch liên quan đến 5 extension chứa mã độc trong đó bao gồm Clean Master - một extension được Featured trên Chrome Web Store với hơn 300 ngàn lượt tải và hiện đã bị gỡ bỏ.
Các extension này đã hoạt động hợp lệ trong nhiều năm, một số thậm chí đã tồn tại từ năm 2018, được người dùng tin tưởng và đánh giá tích cực trước khi được ShadyPanda âm thầm "vũ trang hóa" với một bản cập nhật có chứa mã độc vào giữa năm 2024. Nhờ đó, extension có thể thực thi mã từ xa từng giờ, có thể tải về và chạy các đoạn mã JavaScript tùy ý với đầy đủ các quyền truy xuất của trình duyệt đồng thời giám sát mọi trang web mà người dùng xem và trích xuất lịch sử duyệt web đã được mã hóa để gởi về các máy chủ ở Trung Quốc.
Chiến dịch thứ 2 liên quan đến 5 extension khác trên Edge Add-ons nhưng cùng một nhà phát hành. Các extension này gộp lại có khoảng 4 triệu lượt tải và Microsoft chỉ mới gỡ bỏ gần đây sau khi Koi công bố nghiên cứu bảo mật. Một trong số các extension này là WeTab, được quảng cáo là một công cụ năng suất và có ít nhất 3 triệu người dùng trên toàn cầu.
Koi Security đã phát hiện ít nhất 2 chiến dịch vẫn đang hoạt động song song trên 2 trình duyệt Google Chrome và Microsoft Edge. Một chiến dịch liên quan đến 5 extension chứa mã độc trong đó bao gồm Clean Master - một extension được Featured trên Chrome Web Store với hơn 300 ngàn lượt tải và hiện đã bị gỡ bỏ.
Các extension này đã hoạt động hợp lệ trong nhiều năm, một số thậm chí đã tồn tại từ năm 2018, được người dùng tin tưởng và đánh giá tích cực trước khi được ShadyPanda âm thầm "vũ trang hóa" với một bản cập nhật có chứa mã độc vào giữa năm 2024. Nhờ đó, extension có thể thực thi mã từ xa từng giờ, có thể tải về và chạy các đoạn mã JavaScript tùy ý với đầy đủ các quyền truy xuất của trình duyệt đồng thời giám sát mọi trang web mà người dùng xem và trích xuất lịch sử duyệt web đã được mã hóa để gởi về các máy chủ ở Trung Quốc.
Chiến dịch thứ 2 liên quan đến 5 extension khác trên Edge Add-ons nhưng cùng một nhà phát hành. Các extension này gộp lại có khoảng 4 triệu lượt tải và Microsoft chỉ mới gỡ bỏ gần đây sau khi Koi công bố nghiên cứu bảo mật. Một trong số các extension này là WeTab, được quảng cáo là một công cụ năng suất và có ít nhất 3 triệu người dùng trên toàn cầu.
ShadyPanda sử dụng WeTab để thu thập dữ liệu trên mỗi đường dẫn URL mà người dùng truy xuất, kèm với dữ liệu tìm kiếm, thậm chí là từng cú nhấp chuột sau đó gởi dữ liệu về máy chủ tại Trung Quốc theo thời gian thực.
Trước khi thực hiện màn "lật mặt" biến hàng loạt extension vô hại thành độc hại, ShadyPanda đã dày công nghiên cứu về cách các kho tiện ích của Chrome và Edge kiểm duyệt và từng bước cải tiến cách tấn công. Có thể chia quá trình này thành 4 giai đoạn như sau:
Giai đoạn 1: Thăm dò
Koi Security cho biết các dấu hiệu của hoạt động tin tặc đã xuất hiện từ năm 2023 khi trên Chrome Web Store xuất hiện 20 extension và Edge Add-ons có 125 extension mới, được phát hành bởi các nhà phát triển có tên "nuggetsno15" và "rocket Zhang". Tất cả đều được xác định là giả mạo dưới dạng extension tùy biến giao diện như hình nền hay ứng dụng năng suất. Chức năng chính của chúng là biến các trình duyệt thành công cụ gian lận tiền hoa hồng.
Mỗi khi người dùng thực hiện giao dịch mua hàng trên eBay, Amazon hay Booking.com, extension sẽ tự động chèn mã theo dõi và kẻ tấn công sẽ nhận được tiền hoa hồng mà không cần phải bán thứ gì trên các nền tảng này.
Giai đoạn 2: Thao túng
ShadyPanda chuyển từ hình thức kiếm tiền thụ động sang chủ động tấn công bằng cách biến các extension vô hại thành độc hại chỉ với một bản cập nhật. Extension chứa mã độc có thể chuyển hướng tìm kiếm web, trích xuất cookies từ các tên miền cụ thể và thu thập truy vấn tìm kiếm. Mọi thứ người dùng gõ đều được extension ghi lại để xây dựng hồ sơ duyệt web của người dùng, dữ liệu này được gởi về máy chủ của tin tặc qua giao thức HTTP không mã hóa.
Koi Security cho biết mọi truy vấn tìm kiếm trên web đều được chuyển hướng qua trovi (có bao giờ anh em tìm kiếm trên thành địa chỉ nhưng khi nhấn Enter thì tự dưng thấy trovi thay vì google.com không?). Trovi là một browser hijacker - nó "bắt cóc" trình duyệt, tự động thay đổi thiết lập trình duyệt, do đó những truy vấn khi người dùng tìm kiếm sẽ bị ghi lại và đem bán, kết quả tìm kiếm bị thao túng vì lợi nhuận. Tuy nhiên, phương pháp này sớm bị phát hiện, nhiều extension bị gỡ bỏ chỉ vài tuần sau khi được triển khai.
Quảng cáo
Giai đoạn 3: Cửa hậu
Từ giữa năm 2024, ShadyPanda chuyển sang chiến thuật "lật mặt", lợi dụng sự tin tưởng của người dùng để vũ khí hóa extension. 5 extension được chọn ra làm "con ngựa thành Troy", 3 trong số đó đã hoạt động hợp lệ trong nhiều năm, được nhiều người dùng đánh giá tích cực và đạt trạng thái Featured trên Chrome Web Store.
ShadyPanda đã phát hành các bản cập nhật cho các extension này và bổ sung tính năng như cửa hậu (backdoor). Các extension sẽ tự động kiểm tra tên miền api.extensionplay[.]com một lần mỗi giờ để tìm, tải và thực thi các payload JavaScript.
Các payload này được thiết kế để giám sát mọi lượt truy cập web và gửi dữ liệu được mã hóa về máy chủ ShadyPanda ở địa chỉ (api.cleanmasters[.]store) cùng với thông tin nhận dạng của trình duyệt. Bên cạnh việc sử dụng thủ pháp trộn mã để ẩn mình, nếu người dùng mở console Developer Tools (F12) để kiểm mã thì extension lập tức ngưng hoạt động gửi dữ liệu, quay trở lại là một extension "ngây thơ vô tội."
Không dừng lại ở đó, các extension còn có thể thực hiện hình thức tấn công xen giữa (adversary-in-the-middle (AitM) - một biến thể của man-in-the-middle) với khả năng vượt xác thực đa yếu tố, đánh cắp thông tin đăng nhập, chiếm quyền điều khiển phiên duyệt web và chèn mã tùy ý vào mọi trang web.
Giai đoạn 4: Kiểm soát toàn diện
Quảng cáo
5 extension khác bao gồm WeTab được phát hành cho Microsoft Edge vào năm 2023, thu hút đến 4 triệu lượt tải trên toàn cầu đã được vũ khí hóa tương tự với các bản cập nhật chứa mã độc. Lợi dụng tính năng tự động cập nhật extension, ShadyPanda đã tạo ra hạ tầng backdoor khổng lồ trên 4 triệu máy tính.
Extension chứa mã độc có thể giám sát trình duyệt toàn diện, thu thập mọi đường dẫn URL, mọi truy vấn tìm kiếm, từng cú nhấp chuột và dữ liệu tương tác với trang web của người dùng bao gồm thời gian xem, cách cuộn trang.
Cũng theo Koi, sở dĩ ShadyPanda có thể thực hiện thành công thủ pháp này đó là do cả Google lẫn Microsoft đều không kiểm soát hoạt động của extension sau khi phê duyệt mà chỉ đánh giá độ "sạch" của extension khi nó mới được đệ trình.
Phản ứng của Google và Microsoft
Một đại diện của Google cho biết các extension được Koi Security đề cập đã không còn tồn tại trên Chrome Web Store. Người này đã đề cập đến một bài đăng trên Google hồi tháng 6 năm 2024 với tựa đề "An toàn với tiện ích mở rộng của Chrome" trong đó công ty đã đưa ra các biện pháp để bảo vệ người dùng trước các extension độc hại. Điều này bao gồm mở rộng quy trình đánh giá tự động đối với mọi extension được phát hành lên kho tiện ích, kèm theo đó là đánh giá của con người. "Quá trình xem xét này loại bỏ phần lớn các tiện ích mở rộng độc hại trước khi chúng được phát hành. Vào năm 2024, có chưa đến 1% tổng số lượt cài đặt từ Chrome Web Store bị phát hiện có phần mềm độc hại," Google cho biết.
Tương tự, một đại diện của Microsoft cho biết công ty đã loại bỏ tất cả các extension được phát hiện chứa mã động trên kho Edge Add-ons. Người này nói: "Khi phát hiện các trường hợp vi phạm chính sách, chúng tôi sẽ có hành động thích hợp bao gồm nhưng không giới hạn đó là xóa nội dung bị cấm hoặc chấm dứt thỏa thuận phát hành."
Đại diện Microsoft khuyên người dùng nên cập nhật Edge lên phiên bản mới nhất và gỡ bỏ các extension lạ hoặc không cần thiết. Ngoài ra vị này cũng đề nghị người dùng kiểm tra các quyền đã cấp cho extension và chỉ dùng các extension từ các nhà phát hành đáng tin cậy. "Chúng tôi khuyến nghị đội ngũ IT của doanh nghiệp tăng cường các chính sách về tiện ích mở rộng, kiểm tra các công cụ đã cài đặt và sử dụng cơ chế allow-list/block-list phù hợp," người này nói thêm.
Thật trớ trêu khi cơ chế tự động cập nhật extension - thứ được thiết kế để giữ an toàn cho người dùng lại bị khai thác, trở thành một công cụ để phát tán mã độc. Vào thời điểm Koi công bố nghiên cứu thì nhiều extension vẫn còn và chúng chỉ mới được gỡ bỏ gần đây. Dưới đây là các extension "lật mặt" của ShadyPanda:
- Clean Master: the best Chrome Cache Cleaner
- Speedtest Pro-Free Online Internet Speed Test
- BlockSite
- Address bar search engine switcher
- SafeSwift New Tab
- Infinity V New Tab
- OneTab Plus:Tab Manage & Productivity
- WeTab 新标签页
- Infinity New Tab for Mobile
- Infinity New Tab (Pro)
- Infinity New Tab
- Dream Afar New Tab
- Download Manager Pro
- Galaxy Theme Wallpaper HD 4k HomePage
- Halo 4K Wallpaper HD HomePage
Koi Security; TheHackerNews
Khóa học Machine Learning cơ bản- Khoa học dữ liệu - AI 
==***==
Khoá học Quản trị Chiến lược Dành cho Lãnh đạo Doanh nghiệp
==***==
Nơi hội tụ Tinh Hoa Tri Thức - Khơi nguồn Sáng tạo
Để tham gia khóa học công nghệ truy cập link: http://thuvien.hocviendaotao.com
Mọi hỗ trợ về công nghệ email: dinhanhtuan68@gmail.com
---
Khóa học Hacker và Marketing từ A-Z trên ZALO!
Khóa học Hacker và Marketing từ A-Z trên Facebook!
Bảo mật và tấn công Website - Hacker mũ trắng
KHÓA HỌC LẬP TRÌNH PYTHON TỪ CƠ BẢN ĐẾN CHUYÊN NGHIỆP 
Khóa học Lập trình Visual Foxpro 9 - Dành cho nhà quản lý và kế toán 
Khóa học hướng dẫn về Moodle chuyên nghiệp và hay Xây dựng hệ thống đào tạo trực tuyến chuyên nghiệp tốt nhất hiện nay. 
Khóa học AutoIt dành cho dân IT và Marketing chuyên nghiệp 
Khoá học Word từ cơ bản tới nâng cao, học nhanh, hiểu sâu 
Khóa học hướng dẫn sử dụng Powerpoint từ đơn giản đến phức tạp HIỆU QUẢ 
Khóa học Thiết kế, quản lý dữ liệu dự án chuyên nghiệp cho doanh nghiệp bằng Bizagi 
Khóa học Phân tích dữ liệu sử dụng Power Query trong Excel 
Khóa học Lập trình WEB bằng PHP từ cơ bản đến nâng cao 
Khóa học Phân tích dữ liệu sử dụng SPSS - Chìa khóa thành công!
Khóa học "Thiết kế bài giảng điện tử", Video, hoạt hình kiếm tiền Youtube bằng phần mềm Camtasia Studio 
Khóa học HƯỚNG DẪN THIẾT KẾ VIDEO CLIP CHO DÂN MARKETING CHUYÊN NGHIỆP 
HƯỚNG DẪN THIẾT KẾ QUẢNG CÁO VÀ ĐỒ HỌA CHUYÊN NGHIỆP VỚI CANVA Hãy tham gia khóa học để trở thành người chuyên nghiệp. Tuyệt HAY!😲👍 
GOOGLE SPREADSHEETS phê không tưởng 
Hãy tham gia khóa học để biết mọi thứ
Khóa học Ba, Mẹ và Bé - Cùng bé lập trình TUYỆT VỜI
Khóa học sử dụng Adobe Presenter-Tạo bài giảng điện tử 
Để thành thạo Wordpress bạn hãy tham gia khóa học 
Khóa học sử dụng Edmodo để dạy và học hiện đại để thành công 
==***== Bảo hiểm nhân thọ - Bảo vệ người trụ cột 
Cập nhật công nghệ từ Youtube tại link: congnghe.hocviendaotao.com
Tham gia nhóm Facebook
Để tham gia khóa học công nghệ truy cập link: http://thuvien.hocviendaotao.com
Mọi hỗ trợ về công nghệ email: dinhanhtuan68@gmail.com
Bảo mật và tấn công Website - Hacker mũ trắng
KHÓA HỌC LẬP TRÌNH PYTHON TỪ CƠ BẢN ĐẾN CHUYÊN NGHIỆP
Khóa học AutoIt dành cho dân IT và Marketing chuyên nghiệp
Khoá học Word từ cơ bản tới nâng cao, học nhanh, hiểu sâu
Khóa học hướng dẫn sử dụng Powerpoint từ đơn giản đến phức tạp HIỆU QUẢ
Khóa học Thiết kế, quản lý dữ liệu dự án chuyên nghiệp cho doanh nghiệp bằng Bizagi
Khóa học Phân tích dữ liệu sử dụng Power Query trong Excel
Khóa học Lập trình WEB bằng PHP từ cơ bản đến nâng cao
Khóa học Phân tích dữ liệu sử dụng SPSS - Chìa khóa thành công!
kiếm tiền Youtube bằng phần mềm Camtasia Studio
Khóa học HƯỚNG DẪN THIẾT KẾ VIDEO CLIP CHO DÂN MARKETING CHUYÊN NGHIỆP
HƯỚNG DẪN THIẾT KẾ QUẢNG CÁO VÀ ĐỒ HỌA CHUYÊN NGHIỆP VỚI CANVA
Hãy tham gia khóa học để trở thành người chuyên nghiệp. Tuyệt HAY!😲👍
GOOGLE SPREADSHEETS phê không tưởng
Hãy tham gia khóa học để biết mọi thứ
Khóa học Ba, Mẹ và Bé - Cùng bé lập trình TUYỆT VỜI
Khóa học sử dụng Adobe Presenter-Tạo bài giảng điện tử
Để thành thạo Wordpress bạn hãy tham gia khóa học
Khóa học sử dụng Edmodo để dạy và học hiện đại để thành công
==***==
Bảo hiểm nhân thọ - Bảo vệ người trụ cột
Tham gia nhóm Facebook
Để tham gia khóa học công nghệ truy cập link: http://thuvien.hocviendaotao.com
Mọi hỗ trợ về công nghệ email: dinhanhtuan68@gmail.com
Nguồn: Tinh Tế
Topics: Công nghệ mới
