Chiến dịch này tấn công nhằm vào các nhà phát hành tiện ích trình duyệt trên Chrome Web Store thông qua hình thức phishing và sử dụng quyền truy cập đạt được từ họ để chèn mã độc vào các tiện ích. Mục tiêu là để đánh cắp cookie và token truy cập của người dùng.
Cụ thể, tiện ích bị ảnh hưởng đầu tiên được ghi nhận thuộc sở hữu của hãng bảo mật Cyberhaven, khi một nhân viên của hãng bị lừa và làm mất quyền truy cập vào tay kẻ tấn công, cho phép kẻ xấu phát hành phiên bản độc hại của tiện ích vào ngày 24.12.2024. Phiên bản độc hại của tiện ích có khả năng kết nối tới máy chủ C&C, tải file cấu hình và trích xuất dữ liệu người dùng.
lEmail phishing được chúng sử dụng được cho là tới từ “Google Chrome Web Store Developer Support” có mục đích tạo ra vấn đề cấp bách giả tạo cho người nhận, bằng cách nói rằng tiện ích của hãng này đang đứng trước nguy cơ bị gỡ bỏ khỏi Web Store do vi phạm chính sách. Trong email, chúng cũng giục người dùng bấm vào đường dẫn độc hại để chấp nhận chính sách mới, khi bấm vào sẽ được điều hướng tới một trang có chức năng cấp quyền tới một ứng dụng Oauth độc hại có tên “Privacy Policy Extension”. Sau đó, kẻ tấn công sẽ đạt được quyền truy cập cần thiết để có thể tải lên tiện ích độc hại tới Chrome Web Store.
Một số tiện ích mở rộng khác bị ảnh hưởng, gồm có AI Assistant - ChatGPT and Gemini for Chrome; Bard AI Chat Extension; GPT 4 Summary with OpenAI; Search Copilot AI Assistant for Chrome…
Các tiện ích mở rộng một khi bị ảnh hưởng sẽ có phương thức thực hiện hành vi độc hại theo hướng riêng. Đối với ghi nhận của hãng Cyberhaven, tiện ích độc hại này nhằm vào dữ liệu danh tính, token truy cập của tài khoản Facebook, cụ thể hơn là tài khoản của Facebook Ads.
Hiện các chuyên gia bảo mật vẫn đang tiếp tục quá trình rà quét nhằm phát hiện thêm các tiện ích mở rộng bị ảnh hưởng.
Theo NCSC, hãng Apache Software Foundation đã phát hành bản vá nhằm sửa ba lỗ hổng ảnh hưởng tới giải pháp MINA, HugeGraph-Server và Traffic Control.
Một trong các lỗ hổng được vá là CVE-2024-52046 (Điểm CVSS: 10.0) gây ảnh hưởng tới giải pháp MINA, cụ thể là trên hàm “ObjectSerializationDecoder” gây ra bởi việc giải tuần tự Java không được bảo mật, qua đó cho phép kẻ tấn công thực thi mã từ xa.
Lỗ hổng thứ hai có mã CVE-2024-43441, là lỗi cho phép kẻ tấn công bỏ qua biện pháp bảo mật xác thực tồn tại trên HugeGraph-Server; xảy ra do logic xác thực không được xử lý đúng cách.
Lỗ hổng thứ ba được vá là CVE-2024-43587 tồn tại trên Software Foundation và là lỗi SQL Injection xảy ra do thiếu sót trong không làm sạch dữ liệu đưa vào trên câu truy vấn SQL, từ đó cho phép kẻ tấn công thực thi lệnh SQL tùy ý thông qua yêu cầu PUT.
Các quản trị viên hệ thống được Apache khuyến nghị nên cập nhật bản vá sớm nhất có thể để tránh rủi ro bị ảnh hưởng bởi tấn công của các nhóm đối tượng khai thác các lỗ hổng này.
Gia Minh
10:00 | 12/12/2024
10:00 | 09/12/2024
07:00 | 22/10/2024
09:00 | 17/09/2024
13:00 | 06/06/2024
08:00 | 19/02/2025
Một lỗ hổng bảo mật trong Bypass SAML trên GitHub Enterpris định danh CVE-2025-23369 có điểm CVSS là 7,6 vừa được công bố, cho phép kẻ tấn công bỏ qua cơ chế xác thực SAML trên GitHub Enterprise.
09:00 | 10/02/2025
Một lỗ hổng bảo mật mới được vá trong công cụ lưu trữ 7-Zip đã bị khai thác để phát tán phần mềm độc hại SmokeLoader.
22:00 | 31/01/2025
Apple vừa phát đi thông báo khẩn cấp, khuyến cáo người dùng iPhone nên cập nhật phần mềm ngay lập tức để vá lỗi và bảo vệ dữ liệu cá nhân.
21:00 | 26/01/2025
Trong vài năm qua, nhóm tin tặc Lazarus đã phân phối phần mềm độc hại bằng cách khai thác các cơ hội việc làm giả mạo nhắm vào nhân viên trong nhiều ngành công nghiệp khác nhau, bao gồm quốc phòng, hàng không vũ trụ, tiền điện tử và các lĩnh vực toàn cầu khác. Chiến dịch tấn công này được gọi là DeathNote và cũng được gọi là “Operation DreamJob”. Bài viết sẽ cung cấp tổng quan về những thay đổi đáng kể trong chuỗi lây nhiễm của Lazarus và khám phá cách chúng kết hợp việc sử dụng các mẫu phần mềm độc hại mới và cũ để điều chỉnh các cuộc tấn công.
Một lỗ hổng bảo mật trong Bypass SAML trên GitHub Enterpris định danh CVE-2025-23369 có điểm CVSS là 7,6 vừa được công bố, cho phép kẻ tấn công bỏ qua cơ chế xác thực SAML trên GitHub Enterprise.
08:00 | 19/02/2025