Google Chrome là trình duyệt phổ biến nhất trên máy tính để bàn, đó cũng là lý do tại sao nó cũng là một trong những mục tiêu phổ biến nhất của tin tặc. Điều này hoàn toàn hợp lý khi xét đến lượng thông tin cá nhân và nhạy cảm mà chúng ta lưu trữ trong trình duyệt và hiện nay, tin tặc đã nghĩ ra một cách mới thông minh để đánh cắp tất cả dữ liệu đó và thậm chí chiếm quyền điều khiển máy tính của chúng ta.
Theo báo cáo của BleepingComputer, một cuộc tấn công mới có tên là 'Browser Syncjacking' gần đây đã được các nhà nghiên cứu bảo mật tại công ty an ninh mạng SquareX phát hiện trực tuyến. Cuộc tấn công này bao gồm một số bước, nhưng điều khiến nó đặc biệt nguy hiểm là nó lén lút và chỉ yêu cầu quyền tối thiểu. Người dùng Chrome không cần phải làm gì nhiều để trở thành nạn nhân của cuộc tấn công này.
Sau đây là mọi thông tin bạn cần biết về cuộc tấn công mới này, cùng với một số mẹo và thủ thuật giúp bạn, dữ liệu và thiết bị của bạn được an toàn.
Từ đó, tin tặc sau đó tạo và khởi chạy tiện ích mở rộng Chrome độc hại trên Cửa hàng Chrome trực tuyến. Để dụ dỗ nạn nhân tiềm năng, chúng làm cho tiện ích mở rộng này xuất hiện như một công cụ hữu ích mà chúng có thể muốn thêm vào Chrome.
Sau đó, thông qua kỹ thuật xã hội, những kẻ tấn công lừa nạn nhân tiềm năng cài đặt tiện ích mở rộng mới này. Sau khi cài đặt, tiện ích này sử dụng một cửa sổ trình duyệt ẩn chạy ở chế độ nền để đăng nhập nạn nhân vào một trong các hồ sơ Workspace được quản lý mà tin tặc đã tạo trước đó.
Để lừa nạn nhân bật tính năng đồng bộ hóa Chrome trên hồ sơ do tin tặc kiểm soát mới này, tiện ích mở rộng sẽ mở một trang hỗ trợ Google thực sự đã bị can thiệp, trang này giải thích cách bật tính năng đồng bộ hóa. Nếu nạn nhân trải qua toàn bộ quá trình này, tất cả dữ liệu Chrome đã lưu trữ của họ, bao gồm mật khẩu và lịch sử duyệt web, sẽ nằm trong tay tin tặc, sau đó tin tặc có thể sử dụng hồ sơ Chrome đã bị xâm phạm của họ trên thiết bị của riêng họ.
Bây giờ tin tặc đã kiểm soát được hồ sơ Chrome của nạn nhân, sau đó chúng sẽ cố gắng chiếm quyền kiểm soát hoàn toàn trình duyệt của nạn nhân. Trong bài đăng trên blog nêu chi tiết về cuộc tấn công mới này, SquareX giải thích rằng điều này thường được thực hiện bằng cách sử dụng bản cập nhật Zoom giả mạo. Ví dụ, nạn nhân có thể nhận được lời mời Zoom hợp lệ. Tuy nhiên, khi họ nhấp vào, tiện ích mở rộng từ trước đó sẽ đưa nội dung độc hại vào lời mời, giải thích rằng Zoom cần được cập nhật. Tuy nhiên, thay vì bản cập nhật thực sự, bản tải xuống xuất hiện thực sự là tệp thực thi có chứa mã thông báo đăng ký. Nếu nạn nhân chạy tệp này và nghĩ rằng đó là bản cập nhật thông thường, họ sẽ trao cho tin tặc đứng sau chiến dịch này toàn quyền kiểm soát trình duyệt của họ.
Theo các nhà nghiên cứu của SquareX, từ đây, kẻ tấn công có thể âm thầm truy cập vào tất cả các ứng dụng web của nạn nhân, cài đặt thêm các tiện ích mở rộng độc hại, chuyển hướng nạn nhân đến các trang web lừa đảo, theo dõi/sửa đổi tệp và nhiều hơn thế nữa. Tệ hơn nữa, bằng cách sử dụng Native Messaging API của Chrome, kẻ tấn công có thể thiết lập kênh liên lạc trực tiếp giữa tiện ích mở rộng độc hại của chúng và hệ điều hành của nạn nhân, cho phép chúng cài đặt phần mềm độc hại, ghi lại các lần nhấn phím, trích xuất dữ liệu nhạy cảm và thậm chí kích hoạt webcam và micrô của thiết bị.
Chúng tôi đã từng thấy các cuộc tấn công tiện ích mở rộng tương tự trong quá khứ cũng liên quan đến kỹ thuật xã hội tinh vi. Tuy nhiên, cuộc tấn công này có một chút khác biệt vì kẻ tấn công chỉ cần các quyền tối thiểu, một chút kỹ thuật xã hội và hầu như không có tương tác của người dùng để thực hiện. Tương tự như vậy, trừ khi nạn nhân liên tục kiểm tra các nhãn trình duyệt được quản lý sâu trong cài đặt của Chrome, nếu không sẽ không có dấu hiệu trực quan nào cho thấy trình duyệt của họ đã bị tấn công.
Để tránh khỏi cuộc tấn công này và các cuộc tấn công tương tự, điều đầu tiên bạn muốn làm là tránh cài đặt các tiện ích mở rộng Chrome mới cũng như hạn chế các tiện ích mở rộng bạn đã cài đặt. Trước khi cài đặt bất kỳ tiện ích mở rộng mới nào, bạn cần xem xét kỹ lưỡng tiện ích mở rộng đó cũng như các nhà phát triển của tiện ích mở rộng đó để tìm dấu hiệu đáng ngờ. Tuy nhiên, bạn cũng nên tự hỏi liệu mình có thực sự cần tiện ích mở rộng này hay không hoặc liệu bạn có thể sử dụng chương trình hoặc ứng dụng khác để thực hiện chính xác điều tương tự hay không.
Để tránh khỏi phần mềm độc hại, bạn cần đảm bảo rằng mình đang sử dụng phần mềm diệt vi-rút tốt nhất trên PC Windows và phần mềm diệt vi-rút Mac tốt nhất trên máy tính Apple của mình. Tương tự như vậy, tốt hơn hết là bạn nên lưu trữ mật khẩu và các thông tin xác thực khác của mình trong một trong những trình quản lý mật khẩu tốt nhất thay vì trong trình duyệt vì tin tặc thích nhắm mục tiêu vào chúng.
Tin tặc sẽ liên tục nghĩ ra những cuộc tấn công mới thông minh hơn. Tuy nhiên, bằng cách thận trọng hơn khi trực tuyến, không cài đặt tiện ích mở rộng, phần mềm hoặc ứng dụng không cần thiết và cải thiện vệ sinh mạng của riêng bạn, bạn sẽ có thể tránh trở thành nạn nhân của chúng.
Theo báo cáo của BleepingComputer, một cuộc tấn công mới có tên là 'Browser Syncjacking' gần đây đã được các nhà nghiên cứu bảo mật tại công ty an ninh mạng SquareX phát hiện trực tuyến. Cuộc tấn công này bao gồm một số bước, nhưng điều khiến nó đặc biệt nguy hiểm là nó lén lút và chỉ yêu cầu quyền tối thiểu. Người dùng Chrome không cần phải làm gì nhiều để trở thành nạn nhân của cuộc tấn công này.
Sau đây là mọi thông tin bạn cần biết về cuộc tấn công mới này, cùng với một số mẹo và thủ thuật giúp bạn, dữ liệu và thiết bị của bạn được an toàn.
Từ tiện ích mở rộng trình duyệt đến chiếm quyền thiết bị
Trước khi nhắm mục tiêu vào người dùng Chrome, tin tặc đứng sau cuộc tấn công mới này trước tiên đã thiết lập một miền Google Workspace độc hại với nhiều hồ sơ người dùng, trong đó các tính năng bảo mật như xác thực đa yếu tố bị cố ý vô hiệu hóa. Sau đó, miền này được sử dụng ở chế độ nền để tạo các hồ sơ được quản lý trên thiết bị của nạn nhân.Từ đó, tin tặc sau đó tạo và khởi chạy tiện ích mở rộng Chrome độc hại trên Cửa hàng Chrome trực tuyến. Để dụ dỗ nạn nhân tiềm năng, chúng làm cho tiện ích mở rộng này xuất hiện như một công cụ hữu ích mà chúng có thể muốn thêm vào Chrome.
Sau đó, thông qua kỹ thuật xã hội, những kẻ tấn công lừa nạn nhân tiềm năng cài đặt tiện ích mở rộng mới này. Sau khi cài đặt, tiện ích này sử dụng một cửa sổ trình duyệt ẩn chạy ở chế độ nền để đăng nhập nạn nhân vào một trong các hồ sơ Workspace được quản lý mà tin tặc đã tạo trước đó.
Để lừa nạn nhân bật tính năng đồng bộ hóa Chrome trên hồ sơ do tin tặc kiểm soát mới này, tiện ích mở rộng sẽ mở một trang hỗ trợ Google thực sự đã bị can thiệp, trang này giải thích cách bật tính năng đồng bộ hóa. Nếu nạn nhân trải qua toàn bộ quá trình này, tất cả dữ liệu Chrome đã lưu trữ của họ, bao gồm mật khẩu và lịch sử duyệt web, sẽ nằm trong tay tin tặc, sau đó tin tặc có thể sử dụng hồ sơ Chrome đã bị xâm phạm của họ trên thiết bị của riêng họ.
Bây giờ tin tặc đã kiểm soát được hồ sơ Chrome của nạn nhân, sau đó chúng sẽ cố gắng chiếm quyền kiểm soát hoàn toàn trình duyệt của nạn nhân. Trong bài đăng trên blog nêu chi tiết về cuộc tấn công mới này, SquareX giải thích rằng điều này thường được thực hiện bằng cách sử dụng bản cập nhật Zoom giả mạo. Ví dụ, nạn nhân có thể nhận được lời mời Zoom hợp lệ. Tuy nhiên, khi họ nhấp vào, tiện ích mở rộng từ trước đó sẽ đưa nội dung độc hại vào lời mời, giải thích rằng Zoom cần được cập nhật. Tuy nhiên, thay vì bản cập nhật thực sự, bản tải xuống xuất hiện thực sự là tệp thực thi có chứa mã thông báo đăng ký. Nếu nạn nhân chạy tệp này và nghĩ rằng đó là bản cập nhật thông thường, họ sẽ trao cho tin tặc đứng sau chiến dịch này toàn quyền kiểm soát trình duyệt của họ.
Theo các nhà nghiên cứu của SquareX, từ đây, kẻ tấn công có thể âm thầm truy cập vào tất cả các ứng dụng web của nạn nhân, cài đặt thêm các tiện ích mở rộng độc hại, chuyển hướng nạn nhân đến các trang web lừa đảo, theo dõi/sửa đổi tệp và nhiều hơn thế nữa. Tệ hơn nữa, bằng cách sử dụng Native Messaging API của Chrome, kẻ tấn công có thể thiết lập kênh liên lạc trực tiếp giữa tiện ích mở rộng độc hại của chúng và hệ điều hành của nạn nhân, cho phép chúng cài đặt phần mềm độc hại, ghi lại các lần nhấn phím, trích xuất dữ liệu nhạy cảm và thậm chí kích hoạt webcam và micrô của thiết bị.
Cách giữ an toàn khỏi các tiện ích mở rộng độc hại của trình duyệt
Chúng tôi đã từng thấy các cuộc tấn công tiện ích mở rộng tương tự trong quá khứ cũng liên quan đến kỹ thuật xã hội tinh vi. Tuy nhiên, cuộc tấn công này có một chút khác biệt vì kẻ tấn công chỉ cần các quyền tối thiểu, một chút kỹ thuật xã hội và hầu như không có tương tác của người dùng để thực hiện. Tương tự như vậy, trừ khi nạn nhân liên tục kiểm tra các nhãn trình duyệt được quản lý sâu trong cài đặt của Chrome, nếu không sẽ không có dấu hiệu trực quan nào cho thấy trình duyệt của họ đã bị tấn công.
Để tránh khỏi cuộc tấn công này và các cuộc tấn công tương tự, điều đầu tiên bạn muốn làm là tránh cài đặt các tiện ích mở rộng Chrome mới cũng như hạn chế các tiện ích mở rộng bạn đã cài đặt. Trước khi cài đặt bất kỳ tiện ích mở rộng mới nào, bạn cần xem xét kỹ lưỡng tiện ích mở rộng đó cũng như các nhà phát triển của tiện ích mở rộng đó để tìm dấu hiệu đáng ngờ. Tuy nhiên, bạn cũng nên tự hỏi liệu mình có thực sự cần tiện ích mở rộng này hay không hoặc liệu bạn có thể sử dụng chương trình hoặc ứng dụng khác để thực hiện chính xác điều tương tự hay không.
Để tránh khỏi phần mềm độc hại, bạn cần đảm bảo rằng mình đang sử dụng phần mềm diệt vi-rút tốt nhất trên PC Windows và phần mềm diệt vi-rút Mac tốt nhất trên máy tính Apple của mình. Tương tự như vậy, tốt hơn hết là bạn nên lưu trữ mật khẩu và các thông tin xác thực khác của mình trong một trong những trình quản lý mật khẩu tốt nhất thay vì trong trình duyệt vì tin tặc thích nhắm mục tiêu vào chúng.
Tin tặc sẽ liên tục nghĩ ra những cuộc tấn công mới thông minh hơn. Tuy nhiên, bằng cách thận trọng hơn khi trực tuyến, không cài đặt tiện ích mở rộng, phần mềm hoặc ứng dụng không cần thiết và cải thiện vệ sinh mạng của riêng bạn, bạn sẽ có thể tránh trở thành nạn nhân của chúng.
- Google Chrome có thể sớm nhận được bản nâng cấp tuyệt vời với giá hàng tỷ đô la — điều này đã quá hạn
- Hàng nghìn trang web WordPress bị tấn công để phát tán phần mềm độc hại trên Windows và Mac
- Apple vừa vá lỗ hổng zero-day đầu tiên trong năm — hãy cập nhật iPhone và Mac của bạn ngay bây giờ
