Một chiến dịch quảng cáo gian lận đã lợi dụng các tiện ích mở rộng (extension) thay thế trang tab mới trên trình duyệt Chrome để làm giả lưu lượng truy cập tìm kiếm tự nhiên của Google, gây nhiễu loạn dữ liệu phân tích cho các nhà quảng cáo và chính Google.
Phân tích chiến dịch mở rộng độc hại trên Chrome Web Store
Đội ngũ Threat Research của Socket đã phát hiện một nhóm 152 tiện ích mở rộng Chrome loại “live wallpaper” (hình nền động) mới, được xây dựng từ một mã nguồn duy nhất nhưng phân tán trên 38 tài khoản nhà phát triển và ba thương hiệu: tabplugins[.]com, yowgames[.]com, và chromewallpaper[.]com (chuyển hướng đến owhit[.]com). Các tiện ích này sử dụng các chủ đề phổ biến như anime, game, bóng đá và hình nền xe hơi để thu hút lượt cài đặt, với tổng số người dùng báo cáo khoảng 105.000 người. Tuy nhiên, đây chỉ là ước tính sơ bộ do cách phân loại dung lượng cài đặt của Chrome.
Cam kết riêng tư và thực tế thu thập dữ liệu
Trên tab “Privacy practices” (Thực tiễn quyền riêng tư) của Chrome Web Store, các danh sách này tuyên bố rằng tiện ích không thu thập hoặc sử dụng dữ liệu người dùng, không bán dữ liệu, và không chuyển tiếp dữ liệu cho các mục đích không liên quan. Tuy nhiên, chính sách quyền riêng tư liên kết lại nêu rõ việc ghi nhật ký địa chỉ IP, loại trình duyệt, nhà cung cấp dịch vụ Internet (ISP), dấu thời gian, trang giới thiệu, số lượt nhấp, cùng các chi tiết về thiết bị và phần mềm đã cài đặt của người dùng. Dữ liệu này sau đó được chia sẻ với Google AdSense, DoubleClick, Google Analytics và các đối tác quảng cáo bên thứ ba không được nêu tên.
Cơ chế giả mạo lưu lượng truy cập tìm kiếm
Một tập hợp gồm 54 tiện ích, được xây dựng trên mẫu tabplugins mới hơn, đã đi xa hơn bằng cách giả mạo nguồn gốc lưu lượng truy cập tìm kiếm tự nhiên của Google. Ngay sau khi cài đặt, dịch vụ nền (background service worker) sẽ tự động mở một tab tới tabplugins[.]com với các tham số utm_source=google&utm_medium=organic. Điều này khiến hệ thống phân tích ghi nhận lượt truy cập như thể người dùng đã tìm thấy trang web thông qua kết quả tìm kiếm Google thông thường, thay vì điều hướng bắt buộc từ tiện ích.
Khi gỡ cài đặt, tiện ích sẽ kích hoạt một URL chuyển hướng được tạo sẵn, có dạng https://www.google.com/url?…&url=https://tabplugins.com/…&ved=…&usg=…. Định dạng và token bảo mật này giống hệt với cách Google sử dụng cho các lượt nhấp kết quả tìm kiếm thực tế, khiến tín hiệu gỡ cài đặt không thể phân biệt với hành vi nhấp chuột của người dùng vào kết quả Google.
Cơ chế này cho phép kẻ điều hành trình bày lưu lượng truy cập do tiện ích tạo ra như những lượt truy cập “tìm kiếm tự nhiên” có giá trị cao, làm tăng nhận thức về sự phổ biến và độ tin cậy đối với các nhà quảng cáo và chương trình liên kết. Đây là một hình thức gian lận lưu lượng truy cập.
Các hành vi ẩn giấu và kỹ thuật chống phân tích
Mọi thành viên trong gia đình tiện ích được phân tích đều thể hiện hành vi chống phân tích không được tiết lộ. Khi dịch vụ nền khởi động, tập lệnh nền sẽ liệt kê và xóa mọi cơ sở dữ liệu IndexedDB có thể truy cập được bởi nguồn gốc của tiện ích. Trong một số bản dựng, tiện ích lưu cài đặt trong localStorage và không sử dụng IndexedDB, do đó, thao tác xóa này không thực sự phá hủy dữ liệu nào. Tuy nhiên, đây vẫn là một dấu hiệu nhận dạng mạnh mẽ và cho thấy khả năng tích hợp sẵn để xóa mọi dữ liệu đo lường dựa trên IndexedDB trong tương lai một cách im lặng.
Chuỗi nhật ký “Deleted IndexedDB database:”, hành vi điều hướng cài đặt và mẫu setUninstallURL xuất hiện trên 141 tập lệnh nền có thể truy xuất được, liên kết với tổng cộng 152 ID tiện ích, trong đó 11 ID đã bị gỡ bỏ.
Theo Socket Research, một số biến thể thậm chí còn bao gồm một tệp bg.js bị lỗi cú pháp, ngăn chặn logic nền thực thi. Điều này cho thấy quy trình sản xuất hàng loạt các tiện ích được thực hiện vội vã mặc dù chúng đã vượt qua quá trình xem xét của cửa hàng.
Mô hình kiếm tiền và cơ sở hạ tầng
Các tiện ích này không chèn quảng cáo vào các trang web tùy ý. Thay vào đó, chúng chuyển hướng người dùng đến các miền do kẻ điều hành kiểm soát, những miền này được kiếm tiền mạnh mẽ thông qua quảng cáo lập trình. Một trong những miền đó, tabplugins[.]com, vận hành một danh mục tiện ích dựa trên WordPress được tích hợp với ngăn xếp header-bidding Prebid từ Advergic (avads[.]live).
Nền tảng này cung cấp dữ liệu cho các sàn giao dịch quảng cáo bao gồm Google Ad Manager, Xandr/AppNexus, PixFuture và SmileWanted, đồng thời sử dụng Google Analytics 4 và FOU Analytics để theo dõi người dùng. Các bản chụp lưu trữ của yowgames[.]com và owhit[.]com cho thấy sự tích hợp trực tiếp với Google AdSense và Analytics, sử dụng ID nhà xuất bản và thuộc tính GA4 riêng, tái sử dụng ngôn ngữ quyền riêng tư mẫu về DoubleClick và các nhà quảng cáo bên thứ ba.
Kết quả là một hoạt động gian lận lưu lượng truy cập vì mục đích tài chính, biến các lượt cài đặt tab mới thầm lặng thành các lượt truy cập tìm kiếm Google dường như hợp pháp, làm tổn hại đến quyền riêng tư của người dùng và tính toàn vẹn của dữ liệu đo lường.
Ảnh hưởng và rủi ro bảo mật
Đối với người dùng, rủi ro chính là bị cuốn vào hoạt động đo lường lưu lượng truy cập lừa đảo và thu thập dữ liệu ẩn giấu, chứ không phải là nguy cơ xâm phạm cấp độ thiết bị. Các nhóm bảo mật nên tìm kiếm một dấu hiệu nhận dạng chung: một tiện ích MV3 có dịch vụ nền ghi lại cơ sở dữ liệu IndexedDB đã bị xóa, chạy một vòng lặp indexedDB.databases().then(... deleteDatabase ...), và mở các tab với utm_source=google&utm_medium=organic khi cài đặt.
Các chỉ số bổ sung bao gồm URL gỡ cài đặt trỏ đến trình bao bọc google.com/url chuyển hướng đến tabplugins[.]com, yowgames[.]com, chromewallpaper[.]com hoặc owhit[.]com. Các nhà phân tích cần lưu ý các mối đe dọa mạng này để bảo vệ hệ thống của mình.
Chỉ số xâm nhập (IOC)
- Domains: tabplugins[.]com, yowgames[.]com, chromewallpaper[.]com, owhit[.]com, avads[.]live
- URL Pattern (install):
utm_source=google&utm_medium=organic - URL Pattern (uninstall wrapper):
https://www.google.com/url?…&url=… - Technical Fingerprint: MV3 extension, background worker with
indexedDB.databases().then(... deleteDatabase ...)loop, useslocalStoragefor settings (in some variants). - Network Indicators: Connections to ad exchanges (Google Ad Manager, Xandr, PixFuture, SmileWanted) via programmatic advertising stacks.
Việc phát hiện và gỡ bỏ các tiện ích này là cần thiết để duy trì tính toàn vẹn của dữ liệu phân tích và bảo vệ quyền riêng tư của người dùng khỏi các hoạt động lừa đảo quảng cáo.
Để có thêm thông tin chi tiết về các hoạt động bảo mật mới nhất, vui lòng tham khảo nguồn tin cậy như CISA Cybersecurity Advisories.
