Google đã xóa 500 Tiện ích mở rộng độc hại Chrome khỏi Web Store của mình sau khi họ phát hiện những tiện ích này chèn quảng cáo độc hại và đánh cắp dữ liệu duyệt web của người dùng dưới sự điều khiển của kẻ tấn công.
Các Tiện ích mở rộng này là một phần của chiến dịch quảng cáo độc hại và gian lận quảng cáo (ad-fraud – gian lận các hiển thị quảng cáo, nhấp chuột, chuyển đổi hoặc sự kiện dữ liệu) đã hoạt động ít nhất kể từ tháng 1 năm 2019. Tuy nhiên, có bằng chứng chỉ ra hoạt động đã diễn ra từ năm 2017.
Phát hiện này là một phần trong cuộc điều tra của nhà nghiên cứu bảo mật Jamila Kaya và Duo Security. Họ đã tìm ra được 70 Tiện ích mở rộng Chrome với hơn 1,7 triệu lượt cài đặt.
Sau khi chia sẻ phát hiện này với Google, họ đã tiếp tục tìm ra 430 phần mở rộng trình duyệt có vấn đề. Tất cả chúng đã bị vô hiệu hóa.
Theo bài báo cáo của Kaya và Jacob Rickerd thuộc Duo Security “Sự phát triển của quảng cáo độc hại hoạt động như một vectơ tấn công sẽ tiếp tục gia tăng khi quảng cáo dựa vào theo dõi (tracking-based advertising) vẫn còn phổ biến, nhất là khi người dùng không được bảo vệ bởi các cơ chế chuyên dụng”.
Chiến dịch quảng cáo độc hại được ngụy trang kỹ lưỡng
Khi sử dụng công cụ đánh giá bảo mật Tiện ích mở rộng Chrome của Duo Security (CRXcavator) các nhà nghiên cứu có thể xác định rằng plugins trình duyệt được vận hành bằng cách lén lút kết nối các trình duyệt máy khách với máy chủ chỉ huy và kiểm soát (C2) do kẻ tấn công kiểm soát, từ đó qua mắt người dùng và lấy cắp dữ liệu duyệt web của họ.
Các Tiện ích mở rộng hoạt động dưới vỏ bọc quảng cáo và dịch vụ quảng cáo. Chúng có mã nguồn gần giống nhau nhưng tên chức năng khác nhau. Vì thế chúng có thể qua mắt cơ chế phát hiện của Chrome Web Store.
Ngoài việc yêu cầu các quyền mở rộng cho các plugin quyền truy cập vào clipboard và các cookie được lưu trữ trong trình duyệt, các Tiện ích này định kỳ kết nối với một tên miền có cùng tên với plugin (ví dụ: Mapstrekcom, ArcadeYumcom) để kiểm tra hướng dẫn về cách tự gỡ cài đặt từ trình duyệt.
Khi thiết lập liên hệ ban đầu với trang web, các plugin sẽ thiết lập liên hệ với tên miền C2 được mã hóa cứng (hard-coded) (ví dụ: DTSINCEcom) để chờ lệnh, xác định vị trí để tải lên dữ liệu người dùng và nhận danh sách cập nhật các quảng cáo độc hại và miền chuyển hướng. Sau đó nó sẽ chuyển hướng các phiên duyệt web của người dùng đến một danh sách trộn lẫn giữa các trang web hợp pháp và trang web lừa đảo phishing.
Báo cáo còn chỉ ra “Một phần lớn trong số này là luồng quảng cáo an toàn, dẫn đến các quảng cáo như Macy, Dell hoặc Best Buy. Một số quảng cáo có thể được coi là hợp pháp; tuy nhiên, 60 – 70% thời gian thực hiện chuyển hướng, các luồng quảng cáo dẫn đến một trang web độc hại.”
Cảnh giác với Tiện ích mở rộng trình duyệt trên Chrome ăn cắp dữ liệu
Đây không phải là lần đầu tiên việc Tiện ích mở rộng ăn cắp dữ liệu được phát hiện trên trình duyệt Chrome. Tháng 7 năm ngoái, nhà nghiên cứu bảo mật Sam Jadali và The Washington Post đã phát hiện ra một vụ rò rỉ dữ liệu khổng lồ tên là DataSpii (phát âm như data-spy) được thực hiện bởi các Tiện ích mở rộng của Chrome và Firefox được cài đặt trên nhiều trình duyệt của 4 triệu người dùng.
Các Tiện ích này đã thu thập hoạt động duyệt web có bao gồm thông tin nhận dạng cá nhân và chia sẻ nó cho kẻ môi giới dữ liệu thứ ba giấu tên. Sau đó chúng được chuyển cho một công ty phân tích có tên là Nacho Analytics (hiện đã ngừng hoạt động). Dữ liệu thu thập được sẽ bị bán cho đăng ký của mình các thành viên gần thời gian thực.
Để ngăn chặn những vụ đánh cắp dữ liệu như trên, từ ngày 15/10/2019 Google bắt đầu yêu cầu các Tiện ích mở rộng chỉ được yêu cầu quyền truy cập vào “lượng dữ liệu ít nhất có thể”, cấm mọi Tiện ích mở rộng không có chính sách bảo mật hay thu thập dữ liệu về thói quen duyệt web của người dùng.
Hiện tại, người dùng có thể áp dụng các biện pháp an toàn: xem xét quyền của các tiện ích mở rộng của bạn, xem xét gỡ cài đặt các Tiện ích mở rộng mà bạn hiếm khi sử dụng hoặc chuyển sang các lựa chọn thay thế phần mềm khác không yêu cầu quyền truy cập vào hoạt động trình duyệt của bạn.
Thêm bình luận