SO HUU TRI TUE
Thứ hai, 10/02/2025
  • Click để copy

Cảnh báo bị đánh cắp dữ liệu thông qua các tiện ích mở rộng trên Chrome

11:39, 18/01/2025
(SHTT) - Một chiến dịch tấn công mới nhắm vào các tiện ích mở rộng đã biết của trình duyệt Chrome, khiến ít nhất 35 tiện ích mở rộng bị xâm phạm và hơn 2,6 triệu người dùng có nguy cơ bị lộ dữ liệu, đánh cắp thông tin đăng nhập.

Theo thông tin từ tinnhiemmang.vn, cuộc tấn công nhắm vào các nhà sản xuất tiện ích mở rộng trình duyệt trên Chrome Web Store thông qua chiến dịch lừa đảo và sử dụng quyền truy cập của họ để chèn mã độc vào các tiện ích mở rộng hợp pháp nhằm đánh cắp cookie và mã thông báo truy cập của người dùng.

Công ty đầu tiên công bố chiến dịch này là công ty an ninh mạng Cyberhaven. Vào ngày 27 tháng 12, Cyberhaven tiết lộ rằng một tác nhân đe dọa đã xâm nhập tiện ích mở rộng trình duyệt của họ và chèn mã độc để giao tiếp với máy chủ chỉ huy và kiểm soát (C&C) bên ngoài nằm trên tên miền cyberhavenext[.]pro, tải xuống các tệp cấu hình bổ sung và đánh cắp dữ liệu người dùng.

Email lừa đảo này được cho là đến từ bộ phận hỗ trợ nhà phát triển của cửa hàng Google Chrome trực tuyến, nhằm tạo ra cảm giác cấp bách giả tạo bằng cách tuyên bố rằng tiện ích mở rộng của họ sắp bị xóa khỏi cửa hàng vì vi phạm Chính sách chương trình dành cho nhà phát triển.

"Kẻ tấn công đã có được các quyền cần thiết thông qua ứng dụng độc hại (Phần mở rộng Chính sách bảo mật) và tải tiện ích mở rộng Chrome độc hại lên Chrome Web Store. Sau quy trình đánh giá bảo mật Chrome Web Store thông thường, tiện ích mở rộng độc hại đã được chấp thuận để xuất bản", Cyberhaven cho biết.

Giám đốc công nghệ của công ty bảo mật SaaS Nudge Security, đã xác định thêm các tên miền giải quyết cùng một địa chỉ IP của máy chủ C&C được sử dụng trong vụ xâm phạm Cyberhaven.

Các cuộc điều tra sâu hơn đã phát hiện ra nhiều tiện ích mở rộng hơn bị nghi ngờ đã bị xâm phạm, theo các nền tảng bảo mật tiện ích mở rộng của trình duyệt là Secure Annex và Extension total.

Những tiện ích mở rộng bị xâm phạm bổ sung này cho thấy Cyberhaven không phải là một mục tiêu đơn lẻ mà là một phần của chiến dịch tấn công trên diện rộng nhắm vào các tiện ích mở rộng trình duyệt hợp pháp.

inbound6347994044552395523

 

Có khả năng chiến dịch này đã diễn ra từ ngày 5 tháng 4 năm 2023 và thậm chí có thể còn lâu hơn nữa dựa trên ngày đăng ký của các tên miền được sử dụng: nagofsg[.]com được đăng ký vào tháng 8 năm 2022 và sclpfybn[.]com được đăng ký vào tháng 7 năm 2021.

Đối với tiện ích bổ sung Cyberhaven bị xâm phạm, phân tích cho thấy mã độc nhắm mục tiêu vào dữ liệu nhận dạng và mã thông báo truy cập của tài khoản Facebook, chủ yếu nhằm mục đích nhắm vào người dùng Facebook Ads.

Nó cũng bao gồm mã để theo dõi việc nhấp chuột trên trang web Facebook[.]com, kiểm tra các hình ảnh có chứa chuỗi con "qr/show/code" trong thuộc tính src mỗi khi người dùng nhấp vào một trang và nếu tìm thấy, gửi chúng đến máy chủ C&C. Người ta nghi ngờ rằng mục đích là tìm kiếm mã QR để bỏ qua các kiểm tra bảo mật như yêu cầu xác thực hai yếu tố (2FA).

Cyberhaven cho biết phiên bản độc hại của tiện ích mở rộng trình duyệt đã bị xóa khoảng 24 giờ sau khi ra mắt. Một số tiện ích mở rộng bị phát hiện khác cũng đã được cập nhật hoặc xóa khỏi Chrome Web Store. Tuy nhiên, việc tiện ích mở rộng đã bị xóa khỏi cửa hàng Chrome không có nghĩa là sự việc đã kết thúc.

Từ đó, người ta phát hiện ra rằng sự hiện diện của mã thu thập dữ liệu trong một số tiện ích mở rộng không phải là kết quả của sự thỏa hiệp, mà có khả năng là do chính các nhà phát triển đưa vào như một phần của bộ phát triển phần mềm kiếm tiền (SDK).

TH

Tin khác

Tin tức 31 phút trước
(SHTT) - Trung tâm Nghiên cứu Nguy cơ An ninh mạng của Kaspersky mới đây đã phát đi thông tin cảnh báo về việc phát hiện một loại mã độc tinh vi có khả năng đọc ảnh trong thư viện thiết bị và đánh cắp tiền của người dùng iPhone.
Tin tức 23 giờ trước
(SHTT) - UBND thành phố Hà Nội vừa có Công văn số 362/UBND-NC triển khai nhiệm vụ sắp xếp tổ chức bộ máy. Theo đó, thành phố dự kiến phê duyệt thành lập các sở mới trước ngày 20/2/2025.
Tin tức 23 giờ trước
(SHTT) - Từ 8/2/2025, Thông tư số 24/2024/TT-BGDĐT ban hành Quy chế thi tốt nghiệp Trung học Phổ thông của Bộ Giáo dục và Đào tạo có hiệu lực thi hành.
Tin tức 23 giờ trước
(SHTT) - Thời gian gần đây xuất hiện tình trạng lừa đảo du khách khi đặt phòng khách sạn, nhà nghỉ qua mạng Internet.
Tin tức 1 ngày trước
(SHTT) - Google trước đó tuyên bố sẽ không thiết kế hoặc triển khai công nghệ cho việc chế tạo vũ khí hay "thu thập hoặc sử dụng thông tin cho việc giám sát vi phạm các chuẩn mực quốc tế." Tuy nhiên, những cam kết này không xuất hiện trong phiên bản cập nhật nguyên tắc sử dụng AI mới được công bố.
. ..