Buzz
Hơn 4 triệu thiết bị đã bị nhiễm spyware từ các tiện ích mở rộng bị mã độc tấn công trên Chrome và Edge. Người dùng cần phải gỡ bỏ ngay lập tức để bảo vệ thông tin cá nhân.
Các chuyên gia an ninh mạng vừa phát hiện một chiến dịch tấn công tinh vi qua các tiện ích mở rộng trên Chrome và Edge. Điều đáng lo ngại là nhiều tiện ích trước đây uy tín đã bị tiêm mã độc, khiến hơn 4 triệu thiết bị trên toàn cầu trở thành nạn nhân của phần mềm gián điệp.
Phát hiện chiến dịch tấn công quy mô lớn qua tiện ích trình duyệt
Theo báo cáo từ công ty an ninh mạng Koi, một nhóm hacker liên kết với Trung Quốc mang tên ShadyPanda đã triển khai ít nhất hai chiến dịch phát tán mã độc qua các tiện ích trình duyệt. Những tiện ích này vốn hoạt động hợp pháp trong nhiều năm, nhưng đã bị nhiễm mã độc qua các bản cập nhật từ năm 2024.
Trong chiến dịch đầu tiên, ít nhất 5 tiện ích từng hoạt động ổn định suốt gần 5 năm bất ngờ thay đổi. Tiện ích dọn dẹp bộ nhớ đệm Clean Master là ví dụ điển hình, với hơn 200.000 người dùng và đạt trạng thái “Nổi bật” cùng “Đã xác minh” trên Chrome Web Store trước khi bị Google gỡ bỏ.
Clean Master bị gỡ bỏ vì bị nhiễm mã độc
Hơn 4 triệu người dùng vẫn tiếp tục gặp nguy hiểm trên Edge
Chiến dịch thứ hai nguy hiểm hơn khi bao gồm thêm 5 tiện ích khác, trong đó có công cụ quản lý tab WeTab với hơn 3 triệu lượt cài đặt. Tổng số người dùng bị ảnh hưởng trên toàn cầu đã vượt qua mốc 4 triệu.
Đáng lo ngại, các tiện ích trong chiến dịch này vẫn còn tồn tại trên kho Microsoft Edge Add-ons, khiến người dùng tiếp tục đối mặt với nguy cơ bị theo dõi dữ liệu.
Tiện ích bị biến thành phần mềm gián điệp, thu thập dữ liệu âm thầm
Các chuyên gia cho biết kể từ năm 2024, mã độc đã được âm thầm cài vào các tiện ích này, biến chúng thành spyware. Các phần mềm này thu thập dữ liệu duyệt web của người dùng và gửi về máy chủ đặt tại Trung Quốc theo thời gian thực.
Không chỉ dừng lại ở đó, hệ thống mã độc còn hoạt động như một nền tảng điều khiển từ xa, có thể tự động tải và thực thi mã JavaScript ngay trong trình duyệt mà người dùng không hề hay biết. Ước tính hơn 4,3 triệu thiết bị đã bị lây nhiễm.
Hãy chú ý cẩn thận với các tiện ích trên trình duyệt của bạn
Cách kiểm tra và gỡ bỏ tiện ích độc hại
Koi đã công bố danh sách ID của các tiện ích Chrome và Edge liên quan đến chiến dịch tấn công. Người dùng được khuyến cáo gỡ bỏ ngay nếu phát hiện đang cài đặt các tiện ích này:
- Truy cập:
- chrome://extensions/ với Google Chrome
- edge://extensions/ với Microsoft Edge
- Kích hoạt Chế độ dành cho nhà phát triển (Developer Mode)
- Kiểm tra ID của tiện ích theo danh sách đã công bố
- Nhấn “Remove” để xóa bỏ hoàn toàn
ShadyPanda – Nhóm hacker đứng sau nhiều vụ tấn công
ShadyPanda được ghi nhận đã bắt đầu các hoạt động tấn công từ năm 2018, nhưng mãi đến năm 2023 mới bị công khai rộng rãi. Ban đầu, nhóm này thực hiện gian lận tiếp thị liên kết bằng cách chèn mã theo dõi vào các cú nhấp mua sắm của người dùng.
Sau đó, nhóm này tiếp tục mở rộng quy mô bằng cách lợi dụng các bản cập nhật tiện ích – những bản cập nhật ít bị kiểm duyệt nghiêm ngặt như các tiện ích mới – để phát tán mã độc mà không bị phát hiện trong thời gian dài.
Hacker "Gấu Trúc" tấn công người dùng mạng
Lỗ hổng trong cơ chế kiểm duyệt của Google và Microsoft
Theo các chuyên gia, một trong những lý do khiến ShadyPanda dễ dàng triển khai mã độc là vì Google không kiểm tra các bản cập nhật tiện ích một cách chặt chẽ như khi duyệt tiện ích mới. Điều này tạo ra một lỗ hổng lớn trong hệ thống bảo mật của trình duyệt.
