2,3 triệu nạn nhân: Tiện ích trình duyệt bạn vẫn tin tưởng hóa ra là trojan

[WhiteHat Team]

Một chiến dịch tấn công quy mô lớn mang tên RedDirection vừa bị phát hiện đã biến 18 tiện ích mở rộng phổ biến trên Chrome và Edge thành công cụ đánh cắp dữ liệu và điều hướng người dùng đến các trang web độc hại. Hơn 2,3 triệu người đã bị ảnh hưởng, trong khi không hề hay biết trình duyệt của mình đang bị kiểm soát từ xa.

Trojan ẩn mình trong tiện ích "sạch"​

Các tiện ích này ban đầu đều hoạt động hợp pháp, một số thậm chí có huy hiệu xác minh từ Google, hơn 800 đánh giá tích cực và được đề xuất nổi bật trên Chrome Web Store. Nhưng sau một bản cập nhật âm thầm, chúng biến thành mã độc trình duyệt.

“Không cần phishing. Không cần kỹ nghệ xã hội. Chỉ một lần cập nhật yên lặng là đủ để biến công cụ năng suất thành phần mềm gián điệp." là những gì mà các chuyên gia đang cảnh báo.

Cách thức hoạt động của mã độc​

Mỗi lần người dùng mở trang web, extension độc hại sẽ:

• Ghi lại URL người dùng truy cập
• Gửi về máy chủ điều khiển từ xa (C2) cùng với mã định danh
• Nhận lệnh và chuyển hướng người dùng đến trang web lừa đảo như trang giả mạo ngân hàng, bản cập nhật Zoom giả mạo...

Người dùng vẫn tin tưởng sử dụng các tính năng như chọn màu hay tăng âm lượng mà không hề hay biết rằng, đằng sau đó là một hệ thống giám sát âm thầm đang thu thập và điều hướng dữ liệu mỗi khi họ mở trang web.

Danh sách 18 tiện ích mở rộng đã bị xác nhận chứa mã độc​

Trình duyệt Chrome​

1. Color Picker, Eyedropper (Geco colorpick)
2. Volume Max (Ultimate Sound Booster)
3. Emoji Keyboard Online (Copy & Paste Your Emoji)
4. Free Weather Forecast
5. Video Speed Controller (Video Manager)
6. Unlock Discord (VPN Proxy)
7. Unlock YouTube VPN
8. Unblock TikTok
9. Dark Theme (Dark Reader for Chrome)
10. Weather

Trình duyệt Microsoft Edge​

1. Unlock TikTok
2. Volume Booster (Increase Your Sound)
3. Web Sound Equalizer
4. Header Value
5. Flash Player (Games Emulator)
6. YouTube Unblocked
7. SearchGPT (ChatGPT for Search Engine)
8. Unlock Discord

Khuyến cáo từ chuyên gia WhiteHat: Chủ động phòng ngừa mã độc ẩn trong tiện ích trình duyệt​

Trước chiến dịch tấn công RedDirection đang nhắm vào người dùng Chrome và Edge thông qua các tiện ích mở rộng bị chỉnh sửa độc hại, WhiteHat khuyến cáo các cá nhân và tổ chức thực hiện ngay các biện pháp sau để đảm bảo an toàn:

Đối với người dùng cá nhân

1. Gỡ bỏ ngay lập tức tất cả tiện ích đã bị xác nhận có chứa mã độc khỏi trình duyệt Chrome và Edge (xem danh sách cụ thể bên trên).
2. Xóa toàn bộ dữ liệu trình duyệt (bao gồm cookie, cache, session...) để loại bỏ mã định danh theo dõi còn tồn tại.
3. Chạy phần mềm chống mã độc để kiểm tra toàn bộ hệ thống, phát hiện và loại bỏ các thành phần độc hại có thể đã được cài đặt ngầm.
4. Theo dõi hoạt động đăng nhập của các tài khoản quan trọng (email, ngân hàng, mạng xã hội...) để phát hiện sớm hành vi xâm nhập trái phép.

Đối với tổ chức và doanh nghiệp

1. Thiết lập chính sách GPO/EDR để chặn cài đặt tiện ích từ các nguồn không kiểm soát và giám sát hành vi trình duyệt bất thường trên thiết bị của người dùng trong mạng nội bộ.
2. Thực hiện kiểm tra định kỳ toàn bộ extension đã cài, chỉ cho phép sử dụng những tiện ích đã được kiểm duyệt về bảo mật và nguồn gốc.

Lưu ý quan trọng

• Hiện tại, chưa ghi nhận cuộc tấn công cụ thể nào vào người dùng tại Việt Nam hoặc hạ tầng trọng yếu trong nước. Tuy nhiên, nguy cơ lây nhiễm là rất cao, đặc biệt do thói quen cài đặt tiện ích tùy tiện mà không qua đánh giá bảo mật.
• Mặc dù chưa có mã khai thác công khai, nhiều tên miền điều khiển (C2) trong chiến dịch này vẫn đang hoạt động, có thể tiếp tục được sử dụng cho các đợt tấn công tiếp theo.

RedDirection là một lời nhắc nghiêm túc rằng mã độc không chỉ đến từ file .exe hay email lừa đảo mà có thể ẩn mình trong các tiện ích trình duyệt quen thuộc. Dù được cài đặt từ nguồn “chính chủ” như Chrome Web Store hay Microsoft Edge Add-on, không có gì đảm bảo an toàn tuyệt đối.

Đừng để một cú nhấp chuột phá hỏng cả hệ thống! Hãy rà soát lại các extension ngay hôm nay.

Theo Cyber News​