Hơn 100 tiện ích Chrome độc hại đánh cắp dữ liệu và mở cửa sau

Hơn 20.000 người dùng đã cài đặt các tiện ích mở rộng Chrome độc hại được thiết kế để cài đặt cửa sau (backdoor), đánh cắp thông tin hoặc chèn quảng cáo, theo báo cáo từ công ty an ninh mạng Socket.

Chrome

Các tiện ích nguy hiểm này đã được xuất bản thông qua năm tài khoản khác nhau là GameGen, InterAlt, SideGames, Rodeo Games và Yana Project. Tuy nhiên, chúng dường như là một phần của một chiến dịch phối hợp duy nhất, dựa trên hạ tầng chỉ huy và kiểm soát (C&C) được chia sẻ giữa chúng.

Socket đã xác định được 108 tiện ích đang thực hiện các loại hoạt động độc hại khác nhau. Một nửa trong số đó được thiết kế để đánh cắp tài khoản Google thông qua giao thức OAuth2, trong khi 45 tiện ích khác bị chèn một cửa sau phổ dụng có thể mở các URL tùy ý khi trình duyệt khởi động.

Các tiện ích còn lại được thiết kế để rút ruột (exfiltrate) phiên làm việc của Telegram, chèn quảng cáo vào các trang YouTube và TikTok, chèn tập lệnh nội dung vào tất cả các trang web được truy cập, hoặc chuyển tiếp yêu cầu dịch thuật thông qua máy chủ do kẻ tấn công kiểm soát.

Đa dạng danh mục nhưng chung một backend

Socket cho biết: "108 tiện ích này được xuất bản trên nhiều danh mục sản phẩm khác nhau: ứng dụng khách thanh bên Telegram, trò chơi máy đánh bạc và Keno, công cụ tăng cường YouTube và TikTok, công cụ dịch văn bản và tiện ích tiện ích trang. Mỗi tiện ích nhắm đến một loại người dùng khác nhau, nhưng tất cả đều chia sẻ cùng một hệ thống backend."

Để tránh gây nghi ngờ, các tiện ích này cung cấp đầy đủ chức năng như mô tả. Tuy nhiên, mã độc hại chạy trong nền sẽ kết nối với máy chủ C&C của kẻ đe dọa để thực hiện các hoạt động độc hại.

Nhắm vào Telegram và Google

Socket đặc biệt chú ý đến tiện ích Telegram Multi-account, thứ đánh cắp phiên làm việc Telegram Web đang hoạt động và cho phép kẻ tấn công chiếm đoạt tài khoản người dùng bằng cách ghi đè bộ nhớ cục bộ bằng dữ liệu do kẻ tấn công cung cấp và buộc tải lại Telegram.

Một tiện ích khác là Web Client for Telegram – Teleside cũng có khả năng đánh cắp phiên làm việc và chứa một cửa sau trong tập lệnh nền, cho phép các nhà điều hành kích hoạt tải trọng (payload) trực tiếp mà không cần cập nhật ứng dụng qua Chrome Web Store.

Security

Đối với 54 tiện ích có thể đánh cắp tài khoản Google của người dùng khi đăng nhập, chúng chứa mã giống hệt nhau để lấy mã thông báo Bearer Google OAuth2, sử dụng nó để lấy thông tin người dùng và gửi dữ liệu về máy chủ từ xa.

"Mã thông báo OAuth được sử dụng cục bộ và không bao giờ rời khỏi trình duyệt. Những gì đến được máy chủ của kẻ điều hành chỉ là bản ghi danh tính vĩnh viễn: email, tên và ảnh hồ sơ của nạn nhân," Socket giải thích.

Cửa sau nguy hiểm

Tập lệnh nền của 45 tiện ích chứa một hàm giống hệt nhau, khi trình duyệt khởi động, hàm này sẽ mở một URL nhận được từ máy chủ C&C trong một tab mới.

"Không có giới hạn nào đối với URL mà máy chủ có thể trả về. Kênh này tồn tại qua việc khởi động lại trình duyệt và hoạt động độc lập với việc người dùng có bao giờ mở tiện ích hay không," Socket lưu ý.

Công ty an ninh mạng cho biết họ đã báo cáo tất cả các tiện ích độc hại này, nhưng chúng chưa bị gỡ bỏ ngay lập tức khỏi Chrome Web Store.