Vào ngày 24 tháng 12 năm 2024, tội phạm mạng đã xâm nhập được tiện ích mở rộng của Google Chrome do công ty an ninh mạng Cyberhaven cung cấp. Theo như công ty giải thích trong một bài đăng trên blog, tin tặc đã thực hiện một cuộc tấn công lừa đảo để chiếm quyền kiểm soát tài khoản quản trị viên.
Cụ thể, một nhân viên của công ty đã rơi vào bẫy email lừa đảo. Vào cuối cuộc tấn công, tin tặc đã lấy được "thông tin đăng nhập của một nhân viên Cyberhaven trên Cửa hàng Google Chrome trực tuyến". Với thông tin này, tin tặc có thể xâm nhập vào tài khoản và đưa phiên bản độc hại của tiện ích mở rộng lên mạng. Phiên bản lậu cũng tự cài đặt trên các máy tính mà Chrome tự động cập nhật.
Sau khi người dùng Chrome tải xuống, tiện ích mở rộng này sẽ đánh cắp dữ liệu cá nhân. Mục tiêu chính của nó là người dùng Facebook Ads, một nền tảng quảng cáo được sử dụng để tạo và quản lý các chiến dịch quảng cáo trên Facebook. Dữ liệu bị nhắm mục tiêu bao gồm các mã định danh, mã thông báo truy cập, cookie của trình duyệt và các thông tin khác liên quan đến tài khoản Ads.
Cyberhaven đã nhanh chóng nhận thức được cuộc tấn công. Công ty đã gỡ bỏ phiên bản gian lận của tiện ích mở rộng này chỉ trong vòng một giờ sau khi ra mắt. Thiệt hại là có hạn. Để phòng ngừa, công ty khuyến cáo khách hàng thay đổi tất cả mật khẩu, xác minh rằng bản vá đã được cài đặt và quét các công cụ của họ để tìm hoạt động đáng ngờ.
Thật không may, cuộc tấn công không chỉ giới hạn ở Cyberhaven. Theo thông tin mà các đồng nghiệp của chúng tôi tại Bleeping Computer thu thập được từ các nhà nghiên cứu bảo mật, một cuộc tấn công mạng tương tự đã cho phép tin tặc xâm nhập vào các tiện ích mở rộng Chrome phổ biến khác. Sau đây là danh sách đầy đủ các tiện ích mở rộng bị ảnh hưởng:
Như Cyberhaven chỉ ra, cuộc tấn công này là một phần của "một chiến dịch lớn hơn nhắm vào các nhà phát triển tiện ích mở rộng của Chrome trong nhiều công ty". Theo cuộc điều tra của các nhà nghiên cứu, nhiều tiện ích mở rộng đã bị tấn công cùng lúc, tức là vào đêm Giáng sinh.
Những tin tặc dường như đã tính đến các kỳ nghỉ cuối năm, khiến các nhà phát triển không có mặt tại văn phòng, để tấn công mà không bị phát hiện ngay lập tức. Đây là một chiến thuật phổ biến của tội phạm mạng. Nó bao gồm việc dàn dựng một cuộc tấn công khi các văn phòng đóng cửa, vào ban đêm hoặc cuối tuần. Tuy nhiên, việc hack một số tiện ích mở rộng đã xảy ra từ giữa tháng 12.
Nguồn: Bleeping Computer
Cụ thể, một nhân viên của công ty đã rơi vào bẫy email lừa đảo. Vào cuối cuộc tấn công, tin tặc đã lấy được "thông tin đăng nhập của một nhân viên Cyberhaven trên Cửa hàng Google Chrome trực tuyến". Với thông tin này, tin tặc có thể xâm nhập vào tài khoản và đưa phiên bản độc hại của tiện ích mở rộng lên mạng. Phiên bản lậu cũng tự cài đặt trên các máy tính mà Chrome tự động cập nhật.
Trộm dữ liệu quảng cáo trên Facebook
Sau khi người dùng Chrome tải xuống, tiện ích mở rộng này sẽ đánh cắp dữ liệu cá nhân. Mục tiêu chính của nó là người dùng Facebook Ads, một nền tảng quảng cáo được sử dụng để tạo và quản lý các chiến dịch quảng cáo trên Facebook. Dữ liệu bị nhắm mục tiêu bao gồm các mã định danh, mã thông báo truy cập, cookie của trình duyệt và các thông tin khác liên quan đến tài khoản Ads.
Cyberhaven đã nhanh chóng nhận thức được cuộc tấn công. Công ty đã gỡ bỏ phiên bản gian lận của tiện ích mở rộng này chỉ trong vòng một giờ sau khi ra mắt. Thiệt hại là có hạn. Để phòng ngừa, công ty khuyến cáo khách hàng thay đổi tất cả mật khẩu, xác minh rằng bản vá đã được cài đặt và quét các công cụ của họ để tìm hoạt động đáng ngờ.
18 tiện ích mở rộng bị xâm phạm
Thật không may, cuộc tấn công không chỉ giới hạn ở Cyberhaven. Theo thông tin mà các đồng nghiệp của chúng tôi tại Bleeping Computer thu thập được từ các nhà nghiên cứu bảo mật, một cuộc tấn công mạng tương tự đã cho phép tin tặc xâm nhập vào các tiện ích mở rộng Chrome phổ biến khác. Sau đây là danh sách đầy đủ các tiện ích mở rộng bị ảnh hưởng:
- Bookmark Favicon Changer
- Castorus
- Wayin AI
- Search Copilot AI Assistant
- VidHelper
- Vidnoz Flex
- TinaMind
- Primus
- AI Shop Buddy
- Sắp xếp theo Cũ nhất
- Earny
- ChatGPT Assistant
- Lịch sử bàn phím Recorder
- Email Hunter
- Internxt VPN
- VPNCity
- Uvoice
- ParrotTalks
Làn sóng tấn công vào đêm Giáng sinh
Như Cyberhaven chỉ ra, cuộc tấn công này là một phần của "một chiến dịch lớn hơn nhắm vào các nhà phát triển tiện ích mở rộng của Chrome trong nhiều công ty". Theo cuộc điều tra của các nhà nghiên cứu, nhiều tiện ích mở rộng đã bị tấn công cùng lúc, tức là vào đêm Giáng sinh.
Những tin tặc dường như đã tính đến các kỳ nghỉ cuối năm, khiến các nhà phát triển không có mặt tại văn phòng, để tấn công mà không bị phát hiện ngay lập tức. Đây là một chiến thuật phổ biến của tội phạm mạng. Nó bao gồm việc dàn dựng một cuộc tấn công khi các văn phòng đóng cửa, vào ban đêm hoặc cuối tuần. Tuy nhiên, việc hack một số tiện ích mở rộng đã xảy ra từ giữa tháng 12.
Nguồn: Bleeping Computer
