Tuần trước, tin tặc đã lợi dụng đêm Giáng sinh để xâm nhập vào các tiện ích mở rộng phổ biến của Chrome. Tội phạm mạng đã đưa mã độc vào phiên bản mới của tiện ích mở rộng bằng cách cung cấp tài khoản nhà phát triển trên Google Chrome Web Store. Những phiên bản mới này đã được người dùng Internet tải xuống và cài đặt. Sau đó, các tiện ích mở rộng này có thể đánh cắp một số dữ liệu của người dùng.
Theo cuộc điều tra do Cyberhaven, một trong những mục tiêu của cuộc tấn công mạng, tiến hành, tin tặc đã xâm phạm tổng cộng 36 tiện ích mở rộng của Chrome để đạt được mục đích của mình. Theo công ty an ninh mạng, các tiện ích mở rộng này có hơn 2.600.000 người dùng. Cyberhaven cho biết họ vẫn tiếp tục "theo dõi các vụ lây nhiễm tiếp theo"..
Vài ngày sau sự việc, rõ ràng là toàn bộ hoạt động này dựa trên một chiến dịch lừa đảo quy mô lớn nhắm vào các nhà phát triển tiện ích mở rộng. Theo báo cáo của các đồng nghiệp tại Bleeping Computer, một làn sóng lừa đảo đã bắt đầu vào đầu tháng 12 năm 2024. Tuy nhiên, tin tặc đã chuẩn bị tấn công từ tháng 3 năm ngoái.
Cuộc tấn công bắt đầu bằng việc gửi email lừa đảo trực tiếp nhắm vào các nhà phát triển tiện ích mở rộng của Chrome. Để đánh lừa mục tiêu, tin tặc sử dụng các tên miền như supportchromestore.com, forextensions.com hoặc chromeforextension.com.
Trên Google Group, một nhà phát triển báo cáo đã nhận được "một email lừa đảo tinh vi hơn bình thường". Google đã cảnh báo người dùng về "một hành vi vi phạm Chính sách về tiện ích mở rộng của Chrome, cụ thể là vì lý do: Chi tiết không cần thiết trong phần mô tả". Bằng cách mạo danh Google, kẻ tấn công tuyên bố rằng tiện ích mở rộng này có nguy cơ bị xóa do phần mô tả không đầy đủ. Không có gì ngạc nhiên khi email khuyến khích các nhà phát triển khắc phục tình hình càng sớm càng tốt bằng cách nhấp vào liên kết đến Cửa hàng Chrome trực tuyến.
Đây là phương pháp đặc biệt phổ biến đối với tin tặc chuyên thực hiện các cuộc tấn công lừa đảo. Khi vào trang lừa đảo, nhà phát triển mục tiêu sẽ được nhắc cấp cho tin tặc quyền quản lý tiện ích mở rộng từ Cửa hàng Chrome trực tuyến thông qua tài khoản của họ.
Để thực hiện việc này, tin tặc sử dụng ứng dụng OAuth độc hại, không có hệ thống xác thực hai yếu tố. Đây là giao thức ủy quyền chuẩn cho phép ứng dụng của bên thứ ba truy cập vào các tài nguyên được bảo vệ trên một dịch vụ khác mà không cần người dùng phải chia sẻ thông tin xác thực, chẳng hạn như mật khẩu. Chỉ với vài cú nhấp chuột, các nhà phát triển đang trao quyền cho tội phạm mạng.
Nguồn: Bleeping Computer
Theo cuộc điều tra do Cyberhaven, một trong những mục tiêu của cuộc tấn công mạng, tiến hành, tin tặc đã xâm phạm tổng cộng 36 tiện ích mở rộng của Chrome để đạt được mục đích của mình. Theo công ty an ninh mạng, các tiện ích mở rộng này có hơn 2.600.000 người dùng. Cyberhaven cho biết họ vẫn tiếp tục "theo dõi các vụ lây nhiễm tiếp theo"..
Nguồn gốc: Một chiến dịch lừa đảo tinh vi
Vài ngày sau sự việc, rõ ràng là toàn bộ hoạt động này dựa trên một chiến dịch lừa đảo quy mô lớn nhắm vào các nhà phát triển tiện ích mở rộng. Theo báo cáo của các đồng nghiệp tại Bleeping Computer, một làn sóng lừa đảo đã bắt đầu vào đầu tháng 12 năm 2024. Tuy nhiên, tin tặc đã chuẩn bị tấn công từ tháng 3 năm ngoái.
Cuộc tấn công bắt đầu bằng việc gửi email lừa đảo trực tiếp nhắm vào các nhà phát triển tiện ích mở rộng của Chrome. Để đánh lừa mục tiêu, tin tặc sử dụng các tên miền như supportchromestore.com, forextensions.com hoặc chromeforextension.com.
Trên Google Group, một nhà phát triển báo cáo đã nhận được "một email lừa đảo tinh vi hơn bình thường". Google đã cảnh báo người dùng về "một hành vi vi phạm Chính sách về tiện ích mở rộng của Chrome, cụ thể là vì lý do: Chi tiết không cần thiết trong phần mô tả". Bằng cách mạo danh Google, kẻ tấn công tuyên bố rằng tiện ích mở rộng này có nguy cơ bị xóa do phần mô tả không đầy đủ. Không có gì ngạc nhiên khi email khuyến khích các nhà phát triển khắc phục tình hình càng sớm càng tốt bằng cách nhấp vào liên kết đến Cửa hàng Chrome trực tuyến.
Đây là phương pháp đặc biệt phổ biến đối với tin tặc chuyên thực hiện các cuộc tấn công lừa đảo. Khi vào trang lừa đảo, nhà phát triển mục tiêu sẽ được nhắc cấp cho tin tặc quyền quản lý tiện ích mở rộng từ Cửa hàng Chrome trực tuyến thông qua tài khoản của họ.
Để thực hiện việc này, tin tặc sử dụng ứng dụng OAuth độc hại, không có hệ thống xác thực hai yếu tố. Đây là giao thức ủy quyền chuẩn cho phép ứng dụng của bên thứ ba truy cập vào các tài nguyên được bảo vệ trên một dịch vụ khác mà không cần người dùng phải chia sẻ thông tin xác thực, chẳng hạn như mật khẩu. Chỉ với vài cú nhấp chuột, các nhà phát triển đang trao quyền cho tội phạm mạng.
Nguồn: Bleeping Computer
