Chiến dịch này tấn công nhằm vào các nhà phát hành tiện ích trình duyệt trên Chrome Web Store thông qua hình thức phishing và sử dụng quyền truy cập đạt được từ họ để chèn mã độc vào các tiện ích. Mục tiêu là để đánh cắp cookie và token truy cập của người dùng.

Cụ thể, tiện ích bị ảnh hưởng đầu tiên được ghi nhận thuộc sở hữu của hãng bảo mật Cyberhaven, khi một nhân viên của hãng bị lừa và làm mất quyền truy cập vào tay kẻ tấn công, cho phép kẻ xấu phát hành phiên bản độc hại của tiện ích vào ngày 24.12.2024. Phiên bản độc hại của tiện ích có khả năng kết nối tới máy chủ C&C, tải file cấu hình và trích xuất dữ liệu người dùng.

lEmail phishing được chúng sử dụng được cho là tới từ “Google Chrome Web Store Developer Support” có mục đích tạo ra vấn đề cấp bách giả tạo cho người nhận, bằng cách nói rằng tiện ích của hãng này đang đứng trước nguy cơ bị gỡ bỏ khỏi Web Store do vi phạm chính sách. Trong email, chúng cũng giục người dùng bấm vào đường dẫn độc hại để chấp nhận chính sách mới, khi bấm vào sẽ được điều hướng tới một trang có chức năng cấp quyền tới một ứng dụng Oauth độc hại có tên “Privacy Policy Extension”. Sau đó, kẻ tấn công sẽ đạt được quyền truy cập cần thiết để có thể tải lên tiện ích độc hại tới Chrome Web Store.

Một số tiện ích mở rộng khác bị ảnh hưởng, gồm có AI Assistant - ChatGPT and Gemini for Chrome; Bard AI Chat Extension; GPT 4 Summary with OpenAI; Search Copilot AI Assistant for Chrome…

Các tiện ích mở rộng một khi bị ảnh hưởng sẽ có phương thức thực hiện hành vi độc hại theo hướng riêng. Đối với ghi nhận của hãng Cyberhaven, tiện ích độc hại này nhằm vào dữ liệu danh tính, token truy cập của tài khoản Facebook, cụ thể hơn là tài khoản của Facebook Ads.

Hiện các chuyên gia bảo mật vẫn đang tiếp tục quá trình rà quét nhằm phát hiện thêm các tiện ích mở rộng bị ảnh hưởng.

Apache cảnh báo về các lỗ hổng an toàn thông tin nghiêm trọng

Theo NCSC, hãng Apache Software Foundation đã phát hành bản vá nhằm sửa ba lỗ hổng ảnh hưởng tới giải pháp MINA, HugeGraph-Server và Traffic Control.

Một trong các lỗ hổng được vá là CVE-2024-52046 (Điểm CVSS: 10.0) gây ảnh hưởng tới giải pháp MINA, cụ thể là trên hàm “ObjectSerializationDecoder” gây ra bởi việc giải tuần tự Java không được bảo mật, qua đó cho phép kẻ tấn công thực thi mã từ xa.

Lỗ hổng thứ hai có mã CVE-2024-43441, là lỗi cho phép kẻ tấn công bỏ qua biện pháp bảo mật xác thực tồn tại trên HugeGraph-Server; xảy ra do logic xác thực không được xử lý đúng cách.

Lỗ hổng thứ ba được vá là CVE-2024-43587 tồn tại trên Software Foundation và là lỗi SQL Injection xảy ra do thiếu sót trong không làm sạch dữ liệu đưa vào trên câu truy vấn SQL, từ đó cho phép kẻ tấn công thực thi lệnh SQL tùy ý thông qua yêu cầu PUT.

Các quản trị viên hệ thống được Apache khuyến nghị nên cập nhật bản vá sớm nhất có thể để tránh rủi ro bị ảnh hưởng bởi tấn công của các nhóm đối tượng khai thác các lỗ hổng này.