Hai tiện ích mở rộng trình duyệt giả mạo chặn quảng cáo đã bị phát hiện bí mật ghi lại các cuộc trò chuyện riêng tư từ ChatGPT, Claude, Gemini và 5 nền tảng AI lớn khác. Các tiện ích này, có tên là “Smart Adblocker” và “Adblock for Browser”, đã được khoảng 90.000 người dùng cài đặt trước khi âm mưu bị phanh phui.
Mô tả chi tiết về mối đe dọa
Người dùng thực sự nhận được chức năng chặn quảng cáo, trong khi các cuộc trò chuyện AI nhạy cảm nhất của họ đang bị âm thầm đánh cắp toàn bộ ở chế độ nền. Hoạt động này, được theo dõi nội bộ với tên gọi “Panel 231” và được các nhà nghiên cứu đặt tên là PromptSnatcher, đã vượt xa việc ghi nhật ký dữ liệu đơn giản.
Các tiện ích được thiết kế để nắm bắt toàn bộ lịch sử hội thoại, xác định mô hình AI mà người dùng đang tương tác và thậm chí phát hiện xem người dùng đó có đang sử dụng gói đăng ký trả phí hay không. Độ chính xác của việc thu thập dữ liệu này cho thấy một hoạt động được trang bị tốt với động cơ thương mại rõ ràng đằng sau dữ liệu bị đánh cắp.
Phát hiện và phân tích ban đầu
Các nhà phân tích tại MalExt Sentry, những người đã xác định và ghi nhận mối đe dọa này trong một báo cáo, đã truy tìm nguồn gốc của phát hiện này đến một máy quét tự động đã gắn cờ một ID Google Tag Manager lặp lại trên nhiều tiện ích mở rộng. Những gì ban đầu có vẻ là sự trùng lặp nhỏ trong các quy tắc lọc hóa ra lại là sợi dây đầu tiên trong một mạng lưới lớn hơn, kết nối hai tiện ích mở rộng dường như không liên quan đến cùng một công cụ thu thập dữ liệu ẩn.
Hai tiện ích mở rộng này chia sẻ mã phụ trợ, cơ sở hạ tầng và một giao thức giao tiếp nội bộ gọi là LDP_MESSAGE giống hệt nhau. Mặc dù được xuất bản dưới các tên khác nhau và trỏ đến các miền khác nhau, chúng thực chất là cùng một công cụ được xây dựng bởi cùng một nhà điều hành. Việc triển khai phân tán loại này là một chiến thuật đã biết để tăng phạm vi tiếp cận đồng thời giảm khả năng một cuộc tấn công duy nhất có thể xóa sổ toàn bộ chiến dịch.
Phương thức hoạt động và kỹ thuật che giấu
Điều khiến PromptSnatcher trở nên đặc biệt khó phát hiện là việc sử dụng các danh sách lọc chặn quảng cáo thực tế, có sẵn công khai như EasyList. Điều này mang lại cho các tiện ích mở rộng chức năng thực sự, hoạt động tốt, dễ dàng vượt qua sự kiểm tra thông thường. Động cơ thu thập thông tin tình báo ẩn đã được giữ hoàn toàn tách biệt khỏi các thành phần chặn quảng cáo, khiến lớp độc hại khó bị phát hiện nếu không phân tích mã sâu.
Trọng tâm của cuộc tấn công là một tập lệnh có tên shared-page-capture.js, được chèn trực tiếp vào trang web đang hoạt động. Sau khi được cài đặt, nó sẽ chặn tất cả lưu lượng mạng bằng cách vá các hàm fetch, XMLHttpRequest và WebSocket toàn cục. Điều này có nghĩa là mọi thông điệp được gửi đến hoặc nhận từ chatbot AI đều phải đi qua mã độc hại trước khi hiển thị trên màn hình của người dùng.
Các cuộc trò chuyện bị chặn được lưu trữ đệm, với các câu lệnh được lưu trữ tối đa 10.000 ký tự và phản hồi tối đa 30.000 ký tự, trước khi được gửi đến các máy chủ do kẻ điều hành kiểm soát. Mỗi lần truyền bao gồm ID thiết bị duy nhất, tên nền tảng, ID hội thoại, mô hình AI, cấp độ đăng ký của người dùng và dấu thời gian. Mức độ chi tiết này cho thấy dữ liệu bị đánh cắp được dự định để bán lại hoặc để xây dựng hồ sơ chi tiết về người dùng AI.
Các nền tảng bị ảnh hưởng và khả năng mở rộng
Cuộc tấn công bao trùm tám nền tảng: ChatGPT, Gemini, Claude, Copilot, Perplexity, DeepSeek, Grok và Meta AI. Kẻ điều hành có thể thêm các mục tiêu mới từ xa thông qua một máy chủ cấu hình, mà không cần cập nhật tiện ích mở rộng. Meta AI thậm chí còn không được liệt kê trong mã tĩnh của tiện ích mở rộng nhưng đã hoạt động trong cấu hình từ xa trực tiếp.
Nguy cơ tiềm ẩn trên Firefox
Một trong những phát hiện đáng chú ý nhất liên quan đến các phiên bản Firefox của cả hai tiện ích mở rộng. Tệp kê khai của chúng khai báo rõ ràng các quyền data_collection_permissions: none, chính thức cho người dùng và Mozilla biết rằng không có dữ liệu nào được thu thập. Tuy nhiên, mã cơ bản có chức năng giống hệt với các phiên bản Chrome, thực hiện việc chụp toàn bộ cuộc trò chuyện.
Đây là một sự mâu thuẫn trực tiếp giữa những gì các tiện ích mở rộng tuyên bố làm và những gì chúng thực sự làm, ảnh hưởng đến những người dùng tin tưởng vào quy trình đánh giá của Firefox. Luồng onboarding cũng sử dụng ngôn ngữ “Bảo vệ nâng cao” mơ hồ, không đề cập đến việc các cuộc trò chuyện AI đang bị ghi lại. Người dùng tin rằng họ chỉ đơn giản là cài đặt một trình chặn quảng cáo không có cách nào hợp lý để biết điều gì thực sự đang xảy ra.
Chỉ số xâm nhập (IoCs) và hành động khắc phục
Bất kỳ ai có cài đặt một trong hai tiện ích mở rộng này đều nên gỡ bỏ nó ngay lập tức và cân nhắc việc thay đổi thông tin đăng nhập tài khoản AI của họ như một biện pháp phòng ngừa. Xem xét lịch sử trò chuyện gần đây trên các nền tảng bị ảnh hưởng để tìm dấu hiệu truy cập bất thường cũng là một bước đi hợp lý.
Các Chỉ số Xâm nhập (IoCs):
- URL máy chủ C2:
[.]ai-api[.]cloud - Tên miền được phân tích:
api-ai-chat[.]comai-api-chat[.]netchat-api-ai[.]orgget-ai-chat[.]xyznew-ai-chat[.]xyzopenai-api[.]livethe-ai-chat[.]com
Lưu ý: Địa chỉ IP và tên miền được làm mờ có chủ ý (ví dụ: [.]) để ngăn việc phân giải hoặc siêu liên kết ngẫu nhiên. Chỉ sử dụng lại định dạng ban đầu trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
