Mặc dù các báo cáo ban đầu tập trung vào tiện ích mở rộng bảo mật của Cyberhaven, các cuộc điều tra sau đó cho thấy cùng một mã đã được nhúng vào ít nhất 35 tiện ích mở rộng với khoảng 2,6 triệu người sử dụng.
Theo báo cáo trên LinkedIn và Google Groups từ các nhà phát triển, chiến dịch mới nhất bắt đầu vào khoảng ngày 05/12/2024. Tuy nhiên, các tên miền subdomain của máy chủ điều khiển và ra lệnh (C2) trước đó được tờ báo BleepingComputer tìm thấy đã tồn tại từ tháng 3/2024.
“Chúng tôi chỉ muốn cảnh báo mọi người về một email lừa đảo tinh vi hơn bình thường mà chúng tôi nhận được, trong đó nêu rõ vi phạm chính sách tiện ích mở rộng của Chrome theo biểu mẫu: Unnecessary details in the description”, thông báo Google Group.
Liên kết trong email này trông giống như cửa hàng trực tuyến nhưng lại dẫn đến một trang web lừa đảo sẽ cố gắng kiểm soát tiện ích mở rộng Chrome của người dùng và có khả năng cập nhật phần mềm độc hại vào đó.
Chuỗi tấn công lừa đảo OAuth
Cuộc tấn công bắt đầu bằng một email lừa đảo được gửi trực tiếp đến các nhà phát triển tiện ích mở rộng của Chrome hoặc thông qua email hỗ trợ được liên kết với tên miền của họ.
Theo các nhà nghiên cứu, 3 tên miền sau đã được sử dụng trong chiến dịch này để gửi email lừa đảo: supportchromestore[.]com; forextensions[.]com; chromeforextension[.]com. Email lừa đảo này được tạo ra trông như của Google, tuyên bố rằng tiện ích mở rộng này vi phạm chính sách của Chrome Web Store và có nguy cơ bị xóa.
Email lừa đảo có đoạn thông báo: “Chúng tôi không cho phép các tiện ích mở rộng có metadata ở định dạng lỗi, không liên quan hoặc không phù hợp, bao gồm nhưng không giới hạn mô tả tiện ích mở rộng, tên nhà phát triển,biểu tượng, ảnh chụp màn hình và hình ảnh quảng cáo”.
Cụ thể, các nhà phát triển tin rằng mô tả phần mềm của họ chứa thông tin sai lệch và phải đồng ý với các chính sách của Chrome Web Store.
Hình 1. Email lừa đảo được sử dụng trong cuộc tấn công
Nếu nhà phát triển nhấp vào nút “Go To Policy”, họ sẽ được chuyển đến trang đăng nhập hợp pháp trên tên miền của Google dành cho ứng dụng OAuth độc hại.
Trang web này là một phần của quy trình cấp phép tiêu chuẩn của Google, được thiết kế để cấp quyền an toàn cho các ứng dụng của bên thứ ba truy cập vào các tài nguyên cụ thể của tài khoản Google.
Hình 2. Yêu cầu xác thực độc hại
Trên nền tảng đó, kẻ tấn công đã lưu trữ một ứng dụng OAuth độc hại có tên “Privacy Policy Extension” yêu cầu nạn nhân cấp quyền quản lý tiện ích mở rộng của Chrome Web Store thông qua tài khoản của họ.
Nếu cho phép quyền truy cập này, ứng dụng trên sẽ có thể xem, chỉnh sửa, cập nhật hoặc xuất bản các tiện ích mở rộng, chủ đề, ứng dụng và giấy phép trên cửa hàng Chrome trực tuyến mà nhà phát triển có quyền truy cập.
Hình 3. Lời nhắc phê duyệt quyền
Xác thực đa yếu tố không giúp bảo vệ tài khoản vì không yêu cầu phê duyệt trực tiếp trong luồng ủy quyền OAuth và quy trình này giả định rằng người dùng hiểu đầy đủ phạm vi quyền mà họ đang cấp.
Sau khi kẻ tấn công có được quyền truy cập vào tài khoản của nhà phát triển, chúng đã sửa đổi tiện ích mở rộng để chèn vào hai tệp độc hại, cụ thể là “worker[.]js” và “content[.]js”, chứa mã độc đánh cắp dữ liệu từ tài khoản Facebook. Tiện ích mở rộng bị chiếm đoạt sau đó được phát hành dưới dạng phiên bản mới trên Chrome Web Store.
Trong khi Extension Total đang theo dõi 35 tiện ích mở rộng bị ảnh hưởng bởi chiến dịch lừa đảo này, các IOC từ cuộc tấn công cho thấy rằng có một số lượng lớn hơn nhiều tiện ích mở rộng bị nhắm mục tiêu. Theo VirusTotal, kẻ tấn công đã đăng ký trước các tên miền cho các tiện ích mở rộng mục tiêu, ngay cả khi chúng không bị tấn công.
Hình 4. Các tên miền subdomain trước đó được sử dụng trong chiến dịch lừa đảo
Nhắm mục tiêu vào tài khoản doanh nghiệp trên Facebook
Phân tích các máy tính bị xâm nhập cho thấy kẻ tấn công nhắm vào tài khoản Facebook của người dùng tiện ích mở rộng bị nhiễm mã độc. Cụ thể, mã đánh cắp dữ liệu đã cố gắng lấy ID Facebook, mã thông báo truy cập, thông tin tài khoản, thông tin tài khoản quảng cáo và tài khoản doanh nghiệp của người dùng.
Hình 5. Dữ liệu Facebook bị đánh cắp bởi các tiện ích mở rộng bị tấn công
Ngoài ra, mã độc còn bổ sung thêm trình lắng nghe sự kiện dành riêng cho các tương tác của nạn nhân trên Facebook, tìm kiếm hình ảnh mã QR liên quan đến cơ chế xác thực hai yếu tố (2FA) hoặc CAPTCHA của nền tảng này. Mục đích của hành vi này là vượt qua biện pháp bảo vệ 2FA trên tài khoản Facebook và cho phép kẻ tấn công chiếm đoạt tài khoản.
Thông tin bị đánh cắp sẽ được đóng gói cùng với cookie Facebook, chuỗi user-agent, ID Facebook và gửi đến máy chủ C2 của kẻ tấn công.
Kẻ tấn công đã nhắm vào các tài khoản doanh nghiệp trên Facebook thông qua nhiều hình thức tấn công khác nhau để thanh toán trực tiếp từ thẻ tín dụng của nạn nhân vào tài khoản của họ, thực hiện các chiến dịch thông tin sai lệch hoặc lừa đảo trên nền tảng mạng xã hội hoặc kiếm tiền từ quyền truy cập của nạn nhân bằng cách bán cho người khác.
Hồng Đạt
(Tổng hợp)
16:00 | 19/12/2023
13:00 | 14/02/2025
09:00 | 25/12/2023
11:00 | 19/04/2023
22:00 | 26/01/2025
Năm 2024 ghi dấu nhiều chuyển biến trong lĩnh vực bảo mật và an toàn thông tin tại Việt Nam. Dù đạt được những bước tiến trong việc củng cố hệ thống phòng thủ thì các tổ chức, doanh nghiệp vẫn phải đối mặt với thách thức từ các cuộc tấn công mạng ngày càng tinh vi. Tuy nhiên, với sự hợp tác chặt chẽ giữa các cơ quan, tổ chức và người dùng, cùng với những bài học kinh nghiệm quý báu sẽ là nền tảng cho các bước tiến đột phá về an ninh mạng năm 2025. Tạp chí An toàn thông tin kính mời quý vị điểm qua 10 sự kiện nổi bật định hình bức tranh an ninh mạng Việt Nam năm qua.
10:00 | 26/12/2024
"Gã khổng lồ" công nghệ Apple vừa có động thái công kích đối thủ Meta, cáo buộc Meta liên tục đòi hỏi quyền truy cập vào các công cụ phần mềm cốt lõi, làm dấy lên lo ngại về nguy cơ xâm phạm quyền riêng tư người dùng. Cuộc đối đầu giữa hai "ông lớn" này đang ngày càng nóng lên tại thị trường châu Âu.
16:00 | 20/12/2024
Trong 02 ngày 20 - 21/12, tại Hà Nội, Trường Quốc tế - Đại học Quốc gia Hà Nội và Viện nghiên cứu LCOMS, Trường Đại học Lorraine (Pháp) đăng cai tổ chức Hội thảo quốc tế về Toán ứng dụng và Khoa học máy tính (ICAMCS 2024).
08:00 | 03/12/2024
Ngày 25/11, Công ty môi giới bảo hiểm Howden cho biết các vụ tấn công mạng đã khiến các doanh nghiệp tại Anh thiệt hại hơn 55 tỷ USD doanh thu trong 5 năm qua và khoảng 52% các công ty tư nhân đã ghi nhận ít nhất một cuộc tấn công mạng trong thời gian đó.
Chatbot AI DeepSeek đang tạo ra làn sóng chấn động trên Phố Wall và ảnh hưởng mạnh mẽ đến Nvidia, khiến cổ phiếu công ty này bốc hơi 600 tỷ USD chỉ trong một ngày. Không chỉ có vậy, DeepSeek cũng đã vượt qua chatbot AI ChatGPT để vươn lên dẫn đầu trên App Store về danh mục ứng dụng miễn phí. Sự phát triển nhanh chóng mặt này đã khiến các công ty trí tuệ nhân tạo (AI) cũng như các chính phủ phương Tây và Cơ quan Hàng không Vũ trụ Mỹ (NASA) phải lên tiếng cảnh báo.
13:00 | 14/02/2025
Khép lại năm 2024, Lãnh đạo Ban Cơ yếu Chính phủ, cấp ủy, lãnh đạo các cấp trong toàn lực lượng cơ yếu, nhất là đội ngũ cán bộ chủ chốt đã chủ động bám sát yêu cầu nhiệm vụ và thực tiễn, cùng với sự nỗ lực rất lớn của toàn thể cán bộ, nhân viên ngành Cơ yếu Việt Nam tổ chức triển khai đồng bộ, toàn diện trên các mặt công tác, hoàn thành tốt nhiệm vụ được giao, trong đó có nhiều nhiệm vụ hoàn thành xuất sắc, tiếp tục khẳng định vị thế, vai trò đặc biệt quan trọng của hoạt động cơ yếu. Dưới đây là 10 dấu ấn nổi bật trong năm 2024 của ngành Cơ yếu Việt Nam.
08:00 | 29/01/2025
Sự bùng nổ, phát triển của khoa học công nghệ, nhất là trí tuệ nhân tạo (AI) đang đem lại nhiều lợi ích, giúp tăng hiệu suất trên rất nhiều lĩnh vực của đời sống xã hội và tiện nghi cuộc sống cho con người. Tuy nhiên, đi kèm với cơ hội là không ít các rủi ro, thách thức từ sự phát triển quá nhanh chóng của công nghệ.
16:00 | 14/02/2025