Một chiến dịch được phối hợp gồm 23 tiện ích mở rộng trình duyệt Chrome đã bí mật đánh cắp các truy vấn tìm kiếm của người dùng và chuyển hướng chúng qua các hệ thống tạo doanh thu ẩn. Chiến dịch này, được đặt tên là SearchJack, đã ảnh hưởng đến khoảng 758.000 người dùng Chrome trên toàn thế giới mà không ai nhận ra rằng các tìm kiếm của họ đã bị chiếm dụng. Mỗi tiện ích mở rộng tự giới thiệu là một công cụ hữu ích, từ bản đồ vệ tinh đến các ứng dụng năng suất, trong khi âm thầm chạy một hoạt động khác trong nền. Các tiện ích này đã khai thác một tính năng của Chrome để thay đổi công cụ tìm kiếm mặc định, dẫn người dùng đến các kết quả được kiểm soát bởi kẻ tấn công.
Chiến dịch SearchJack: Kỹ thuật Tấn công và Ảnh hưởng
Cách thức hoạt động của các tiện ích này rất đơn giản nhưng khó phát hiện. Sau khi cài đặt, chúng sẽ ghi đè công cụ tìm kiếm mặc định của trình duyệt bằng cách sử dụng một tính năng tích hợp của Chrome gọi là chrome_settings_overrides. Khi người dùng nhập một truy vấn, nó sẽ đi qua các máy chủ trung gian do kẻ tấn công kiểm soát trước khi hiển thị trang kết quả. Người dùng thấy những gì trông giống như một tìm kiếm thông thường, nhưng mọi truy vấn đã đi qua một lớp kiếm tiền mà họ không bao giờ đồng ý.
Phát hiện và Quy mô của Chiến dịch
Các nhà nghiên cứu tại MalExt Sentry đã xác định chiến dịch này bằng hệ thống quét tự động của họ, hệ thống này giám sát danh sách các tiện ích mở rộng của Chrome để phát hiện hoạt động đáng ngờ. Hệ thống quét đã gắn cờ đặc biệt các tiện ích mở rộng lạm dụng khóa manifest chrome_settings_overrides để chiếm quyền kiểm soát cài đặt tìm kiếm.
Nhóm nghiên cứu đã truy vết ít nhất tám nhà môi giới liên kết (affiliate brokers) riêng biệt, mỗi nhà môi giới được xác định bằng một tham số theo dõi duy nhất trong URL chuyển hướng cuối cùng đến Yahoo. Điều này cho thấy một cơ cấu tinh vi để phân phối lợi nhuận từ hoạt động trái phép.
Che đậy và Lừa dối Người dùng
Điều khiến SearchJack khó bị phát hiện là khoảng cách giữa những gì tiện ích mở rộng tuyên bố và những gì chúng thực sự làm. Một tiện ích mở rộng, Nautilus Search, cho người dùng biết trong danh sách cửa hàng rằng nó không bao giờ theo dõi tìm kiếm hoặc thu thập dữ liệu cá nhân. Tuy nhiên, chính sách quyền riêng tư được liên kết lại tiết lộ rõ ràng việc thu thập địa chỉ IP, truy vấn tìm kiếm và mã định danh thiết bị. Đây là một tuyên bố sai sự thật trực tiếp, có khả năng bị xử lý theo cả các khuôn khổ GDPR và FTC.
Mô hình này không chỉ giới hạn ở việc thu thập dữ liệu. Kẻ tấn công có thể bí mật chuyển đổi từ việc cung cấp kết quả tìm kiếm thông thường sang hiển thị các trang lừa đảo (phishing) hoặc tải xuống phần mềm độc hại mà không cần đẩy bất kỳ bản cập nhật nào cho tiện ích mở rộng. Khả năng leo thang gây hại này mà không cần chạm vào mã nguồn đã nâng SearchJack từ adware lên thành một rủi ro bảo mật nghiêm trọng.
Cơ chế Hoạt động Kỹ thuật
Nền tảng kỹ thuật của SearchJack được xây dựng trên một hệ thống chuyển hướng phân lớp được thiết kế để hoàn toàn vô hình. Hầu hết các tiện ích mở rộng là những gì các nhà nghiên cứu gọi là tiện ích shell, hầu như không chứa gì ngoài tệp manifest thiết lập công cụ tìm kiếm mặc định mới. Không có tập lệnh nền, không yêu cầu quyền và không có tín hiệu rõ ràng nào cho thấy có điều gì đó bất thường đang xảy ra.
Cấu trúc Tiện ích Mở rộng và Che giấu Hành vi
Cùng một mẫu cấu trúc xuất hiện trên nhiều tiện ích mở rộng, chỉ khác nhau về tên miền và biểu tượng. Một nhóm nhỏ hơn bổ sung các chức năng giả, như trình xem bản đồ cơ bản hoặc thư viện video, để vượt qua quá trình xem xét của cửa hàng và làm cho việc cài đặt có vẻ hợp pháp. Các tính năng này hầu như không hoạt động nhưng đủ để tránh bị gỡ bỏ tự động.
Một tiện ích mở rộng, Search Toggler, hiển thị cho người dùng một giao diện dường như cho phép họ chuyển đổi giữa các công cụ tìm kiếm. Tuy nhiên, trên thực tế, tất cả các truy vấn vẫn đi qua máy chủ của kẻ tấn công bất kể lựa chọn nào. Logic định tuyến thực tế chỉ được đưa vào tại thời điểm chạy, khiến nó không thể nhìn thấy đối với các công cụ phân tích tiêu chuẩn.
Vai trò của Nhà môi giới Liên kết
Đằng sau mỗi tiện ích mở rộng là một nhà môi giới nắm giữ thỏa thuận chia sẻ doanh thu với chương trình liên kết của Yahoo, thu thập một phần trăm mỗi khi người dùng tìm kiếm. Chiến dịch này bao gồm tám nhà môi giới như vậy, với khối lượng lớn nhất gắn liền với một nhà điều hành không xác định.
Một số nhà môi giới, như Becovi Ltd có trụ sở tại Dublin, ít nhất có thể truy vết một phần. Những người khác không có danh tính có thể xác minh được, khiến việc quy trách nhiệm gần như không thể. Các nhà nghiên cứu khuyến nghị hành động thực thi ở cấp độ nhà môi giới thay vì nhắm mục tiêu vào từng tiện ích mở rộng, vì tiện ích mở rộng có thể bị loại bỏ nhưng tài khoản liên kết thì không.
Khuyến nghị Bảo mật và Cách phòng tránh
Quy mô của chiến dịch này làm dấy lên những lo ngại vượt ra ngoài các mô tả cửa hàng gây hiểu lầm. Khả năng leo thang gây hại mà không cần cập nhật tiện ích mở rộng biến SearchJack thành một mối đe dọa an ninh mạng thực sự. Người dùng có thể trở thành nạn nhân của các cuộc tấn công lừa đảo hoặc tải xuống phần mềm độc hại mà không hề hay biết.
Các Bước Người dùng Cần Thực hiện
Các nhà nghiên cứu khuyến nghị người dùng thực hiện các bước sau để bảo vệ bản thân:
- Kiểm tra kỹ các tiện ích mở rộng đã cài đặt trên trình duyệt Chrome của bạn.
- Gỡ bỏ bất kỳ tiện ích mở rộng nào không quen thuộc hoặc không còn sử dụng.
- Đặt lại công cụ tìm kiếm mặc định của trình duyệt Chrome về cài đặt ban đầu hoặc một công cụ tìm kiếm đáng tin cậy.
Hướng dẫn Đặt lại Công cụ Tìm kiếm Mặc định trên Chrome
Để đặt lại công cụ tìm kiếm mặc định, bạn có thể làm theo các bước sau:
- Mở trình duyệt Chrome.
- Nhấp vào biểu tượng menu ba chấm ở góc trên bên phải.
- Chọn Cài đặt (Settings).
- Trong menu bên trái, nhấp vào Trình tìm kiếm (Search engine).
- Trong phần “Công cụ tìm kiếm được sử dụng trong thanh địa chỉ” (Search engine used in the address bar), chọn một công cụ tìm kiếm mong muốn từ danh sách thả xuống.
- Bạn cũng có thể quản lý các công cụ tìm kiếm khác bằng cách nhấp vào “Quản lý công cụ tìm kiếm và tìm kiếm trang web” (Manage search engines and site search).
Việc duy trì cảnh giác và chủ động trong việc quản lý các tiện ích mở rộng trình duyệt là rất quan trọng để đảm bảo an toàn thông tin cá nhân và bảo mật mạng.
Chỉ số Gây hại (Indicators of Compromise – IoCs)
Lưu ý: Các địa chỉ IP và tên miền được làm mờ (ví dụ: [.]) để ngăn chặn việc phân giải hoặc liên kết ngoài ý muốn. Chỉ tái tạo định dạng gốc trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
- (Danh sách IoCs cụ thể sẽ được liệt kê ở đây nếu có sẵn và được cung cấp trong dữ liệu gốc).
Chiến dịch SearchJack là một ví dụ điển hình về các mối đe dọa mạng tinh vi lợi dụng niềm tin của người dùng vào các tiện ích mở rộng trình duyệt. Việc hiểu rõ kỹ thuật hoạt động và thực hiện các biện pháp phòng ngừa là yếu tố then chốt để bảo vệ khỏi các cuộc tấn công tương tự trong tương lai. Theo dõi các tin tức bảo mật mới nhất và cập nhật bản vá thường xuyên sẽ giúp bạn nâng cao khả năng phòng thủ trước các nguy cơ an ninh mạng ngày càng gia tăng.
