Tin bảo mật mới nhất này ghi nhận một Chrome extension giả mạo TronLink được phát hiện đánh cắp thông tin ví tiền mã hóa của người dùng. Tiện ích độc hại hoạt động âm thầm ở nền, thu thập mnemonic phrases, private keys và passwords, sau đó chuyển dữ liệu về máy chủ điều khiển từ xa theo thời gian thực.
Phân tích chiến dịch và cơ chế hoạt động
Tiện ích này xuất hiện trên Chrome Web Store với giao diện và tên hiển thị rất giống ứng dụng hợp lệ, kèm số lượt cài đặt được công bố ở mức hơn 1 triệu và đánh giá 4,5 sao. Cách thể hiện này làm giảm nghi ngờ ban đầu, khiến người dùng dễ cài đặt mà không kiểm tra kỹ nguồn gốc.
Cơ chế tấn công mạng gồm hai lớp liên kết với nhau. Lớp đầu là extension trên trình duyệt, bề ngoài chỉ giống một công cụ blockchain thông thường và xin ít quyền. Lớp thứ hai là một trang phishing từ xa được tải vào cửa sổ popup của extension, nơi toàn bộ việc thu thập thông tin đăng nhập được thực hiện.
Những dữ liệu bị thu thập gồm:
- Mnemonic phrases
- Private keys
- Keystore files
- Passwords
Dữ liệu sau đó được đóng gói và gửi qua nền tảng nhắn tin Telegram đến phía điều khiển. Với kiểu xâm nhập trái phép này, bất kỳ ví nào đã nhập thông tin trong popup đều phải xem là đã bị xâm phạm.
Chrome extension giả mạo và kỹ thuật né phát hiện
Một điểm đáng chú ý của mối đe dọa này là việc sử dụng ký tự Unicode ẩn và chữ cái Cyrillic có hình dạng tương tự để làm tên extension trông giống “TronLink”. Kỹ thuật này giúp vượt qua kiểm tra tự động ở mức hiển thị và làm giảm khả năng bị phát hiện trong giai đoạn xét duyệt kho ứng dụng.
Trang phishing cũng được gia cố bằng nhiều cơ chế chống phân tích:
- Chặn chuột phải.
- Vô hiệu hóa bôi đen văn bản.
- Chặn phím tắt mở Developer Tools.
- Chuyển hướng bot hoặc nhà nghiên cứu sang trang trắng.
- Phân tích ngôn ngữ/ngữ cảnh địa lý để điều hướng một nhóm người dùng sang miền khác.
Đây là các biện pháp điển hình trong phát hiện xâm nhập và né tránh IDS ở cấp ứng dụng, khiến việc phân tích thủ công hoặc tự động đều khó hơn.
Liên kết giữa extension và trang lừa đảo
Khi người dùng nhấn biểu tượng extension, popup kiểm tra xem máy chủ từ xa còn hoạt động hay không, rồi nạp trang phishing vào một khung nhúng. Trang này gần như sao chép hoàn toàn giao diện ví web hợp lệ nên rất khó phân biệt bằng mắt thường.
Điều này làm cho hành vi remote code execution không phải là trọng tâm ở đây; thay vào đó, mục tiêu là đánh cắp dữ liệu đầu vào của người dùng và gửi ra ngoài ngay lập tức. Mức độ ảnh hưởng vì vậy rất trực tiếp: tài sản số có thể bị chuyển đi nhanh chóng sau khi thông tin xác thực bị lộ.
Ảnh hưởng hệ thống và rủi ro an toàn thông tin
Ảnh hưởng của chiến dịch này gần như tức thời. Khi người dùng nhập dữ liệu ví vào giao diện giả, thông tin sẽ được chuyển thẳng tới phía điều khiển mà không có dấu hiệu cảnh báo rõ ràng. Với các ví đã tương tác qua extension, cần coi là rủi ro an toàn thông tin nghiêm trọng.
Hệ quả thực tế bao gồm:
- Rò rỉ dữ liệu nhạy cảm của ví.
- Đánh cắp dữ liệu đăng nhập và khóa riêng tư.
- Nguy cơ mất quyền kiểm soát tài sản số.
- Hệ thống trình duyệt bị lợi dụng làm kênh trung gian cho lừa đảo.
Trong bối cảnh cảnh báo CVE và lỗ hổng CVE, sự cố này không gắn với một CVE cụ thể nhưng vẫn cho thấy một dạng nguy cơ bảo mật nghiêm trọng đến từ chuỗi cung ứng tiện ích trình duyệt và hành vi giả mạo giao diện.
Phát hiện, IOC và chỉ dấu hạ tầng
Nhóm phân tích bảo mật đã ghi nhận và công bố chiến dịch này sau khi hệ thống giám sát của họ đánh dấu extension là mẫu phishing rủi ro cao. Khi extension và trang liên quan được xác nhận, cảnh báo được phát ra ngay cho khách hàng giám sát.
IOC đáng chú ý:
- Domain: tronfind-api.tronfindexplorer.com
- Trang phishing: miền tải trong popup extension, dùng để thu thập mnemonic, private key, keystore file và password
- Dấu hiệu hành vi: chặn right-click, chặn text selection, chặn phím tắt Developer Tools, điều hướng bot/analyst sang trang trắng
Domain cần được theo dõi trong DNS, proxy và log của endpoint để xác định lưu lượng truy cập bất thường. Việc bám theo các API path mà backend phishing sử dụng có thể hỗ trợ phát hiện tấn công sớm hơn.
Khuyến nghị xử lý và kiểm soát
Người dùng đã cài extension cần gỡ bỏ ngay khỏi Chrome và xóa toàn bộ site data cùng local storage liên quan. Nếu đã nhập thông tin ví trong popup, ví đó phải được xem là đã bị xâm phạm và cần chuyển tài sản sang ví mới được tạo trên thiết bị tin cậy.
Đối với đội vận hành, cần áp dụng kiểm soát chặt hơn với extension trình duyệt không được phê duyệt. Biện pháp này giúp giảm đáng kể nguy cơ từ các chiến dịch mã độc ngụy trang dưới dạng tiện ích hợp lệ.
Các bước kỹ thuật nên thực hiện:
- Chặn domain liên quan ở lớp DNS, proxy và EDR.
- Giám sát truy cập vào các API path bất thường từ trình duyệt.
- Rà soát danh sách extension được phép trên thiết bị.
- Áp dụng chính sách group policy hoặc device management để giới hạn extension.
- Kiểm tra và thu hồi các phiên đăng nhập liên quan đến ví đã bị lộ.
Tham khảo thêm tại CISA và báo cáo phân tích của SlowMist tại SlowMist Medium.
Cơ chế lừa đảo trong Chrome extension giả mạo
Điểm khiến chiến dịch này đặc biệt nguy hiểm là nó không dựa vào khai thác kỹ thuật phức tạp mà dựa vào sự tin tưởng của người dùng vào tên ứng dụng và độ uy tín giả lập trên cửa hàng tiện ích. Đây là dạng lỗ hổng zero-day về mặt xã hội học thì không chính xác; thay vào đó là nguy cơ bảo mật từ giả mạo thương hiệu và giao diện.
Với các môi trường cần bảo mật mạng và an toàn dữ liệu, việc kiểm soát extension và rà soát lưu lượng web là bắt buộc. Nếu phát hiện hành vi truy cập domain liên quan hoặc dữ liệu ví đã được nhập trong extension, cần xử lý như một sự cố rò rỉ dữ liệu có mức độ nghiêm trọng cao.
Trong thực hành giám sát, các nhóm threat intelligence có thể đưa IOC vào SIEM hoặc MISP để đối chiếu với log trình duyệt và proxy. Cách làm này hỗ trợ phát hiện xâm nhập và ngăn chặn sớm trước khi tài sản bị chuyển ra ngoài.
