Nhóm nghiên cứu mối đe dọa Socket gần đây đã phát hiện ra một mạng lưới đáng lo ngại gồm các tiện ích mở rộng trình duyệt Firefox độc hại, gây ra mối đe dọa nghiêm trọng đến an ninh và quyền riêng tư của người dùng. Ban đầu, cuộc điều tra tập trung vào một tiện ích mở rộng duy nhất có tên “Shell Shockers”, được thiết kế để chuyển hướng người dùng đến các trang web lừa đảo hỗ trợ kỹ thuật. Tuy nhiên, cuộc điều tra nhanh chóng mở rộng và hé lộ một chiến dịch phối hợp được dàn dựng bởi tác nhân đe dọa “mre1903”.
Mạng lưới Tiện ích mở rộng độc hại trên Firefox
Tác nhân đe dọa “mre1903” đã hoạt động kể từ tháng 6 năm 2018 và là chủ mưu đằng sau một loạt các tiện ích mở rộng giả mạo trò chơi phổ biến. Các tiện ích mở rộng này được thiết kế để bắt chước các tựa game nổi tiếng như “Little Alchemy 2,” “1v1.LOL,” “Krunker io Game,” “Five Nights at Freddy’s,” và “Bubble Spinner.”
Chiến dịch “Shell Shockers” và mạo danh game
Thay vì cung cấp chức năng chơi game như quảng cáo, các tiện ích mở rộng này lại chuyển hướng người dùng không nghi ngờ đến các trang web cờ bạc hoặc các trang cảnh báo virus giả mạo của Apple với các mã lỗi bịa đặt như “0x800VDS.” Việc sử dụng tên trò chơi quen thuộc khai thác triệt để lòng tin của người dùng, biến chiến thuật social engineering trở nên đặc biệt hiệu quả.
Cùng với đó, các cửa sổ bật lên tức thì ngay sau khi cài đặt khiến người dùng mất cảnh giác, làm tăng khả năng bị lừa đảo. Mục tiêu cuối cùng của các vụ lừa đảo này là thu thập dữ liệu cá nhân và tiền thanh toán từ nạn nhân. Các tiện ích này thường triển khai các kỹ thuật chuyển hướng tinh vi, có thể bao gồm việc sửa đổi các thiết lập mặc định của trình duyệt hoặc sử dụng các script để can thiệp vào hành vi duyệt web của người dùng, đảm bảo rằng nạn nhân sẽ được dẫn đến các trang lừa đảo ngay lập tức mà không có sự đồng ý rõ ràng.
Các Tiện ích mở rộng độc hại khác với khả năng xâm nhập sâu hơn
Ngoài vỏ bọc trò chơi, cuộc điều tra còn phát hiện ra các tiện ích mở rộng độc hại không liên quan nhưng có khả năng xâm nhập thậm chí còn sâu rộng hơn. Những tiện ích này thể hiện sự tinh vi trong kỹ thuật, vượt xa các hành vi chuyển hướng đơn thuần để thực hiện các cuộc tấn công phức tạp hơn.
GimmeGimme: Đánh cắp phiên người dùng qua liên kết liên kết
“GimmeGimme” được quảng cáo là một công cụ tạo danh sách mong muốn cho các nền tảng thương mại điện tử châu Âu như bol.com và coolblue.nl. Tuy nhiên, tiện ích này lại bí mật chiếm quyền điều khiển phiên làm việc của người dùng thông qua các liên kết theo dõi liên kết (affiliate tracking links). Bằng cách này, kẻ tấn công tạo ra doanh thu bất hợp pháp trong khi tiện ích không cung cấp bất kỳ chức năng nào được hứa hẹn.
Cơ sở hạ tầng chuyển hướng của GimmeGimme không chỉ phục vụ mục đích trục lợi từ liên kết. Nó còn tiềm ẩn một mối đe dọa tiềm tàng, dễ dàng được điều chỉnh để thu thập thông tin xác thực (credential harvesting) hoặc phân phối phần mềm độc hại. Điều này có nghĩa là, kẻ tấn công có thể thay đổi mục tiêu của các liên kết chuyển hướng để lừa người dùng nhập thông tin đăng nhập vào các trang web giả mạo hoặc tải xuống các tệp chứa mã độc, biến tiện ích này thành một cánh cổng nguy hiểm cho các cuộc tấn công phức tạp hơn trong tương lai.
VPN Grab A Proxy Free: Gián điệp lưu lượng và hạ cấp bảo mật
Tương tự, “VPN Grab A Proxy Free” đội lốt một công cụ bảo mật quyền riêng tư nhưng lại thực hiện các hành vi vô cùng nguy hiểm. Tiện ích này chèn các iframe theo dõi vô hình vào các trang web mà người dùng truy cập và định tuyến toàn bộ lưu lượng truy cập qua các proxy HTTP do kẻ tấn công kiểm soát.
Hành vi này cho phép kẻ tấn công thực hiện giám sát toàn diện dữ liệu nhạy cảm của người dùng, bao gồm thông tin đăng nhập và các giao tiếp cá nhân. Đáng báo động hơn, “VPN Grab A Proxy Free” còn hạ cấp các kết nối HTTPS an toàn xuống HTTP không mã hóa, tạo điều kiện thuận lợi cho các cuộc tấn công man-in-the-middle (MITM). Trong một cuộc tấn công MITM, kẻ tấn công có thể chặn, đọc và thậm chí sửa đổi dữ liệu đang được truyền giữa người dùng và máy chủ, làm mất hoàn toàn tính bảo mật của các giao dịch trực tuyến.
CalSyncMaster: Đánh cắp thông tin xác thực OAuth tinh vi
Tiện ích “CalSyncMaster” là một mối đe dọa đáng báo động nhất, được quảng cáo là công cụ đồng bộ hóa Google Calendar. Tuy nhiên, nó thực hiện hành vi đánh cắp thông tin xác thực OAuth rất tinh vi. Cụ thể, tiện ích này trích xuất các mã truy cập (access tokens) của người dùng và gửi chúng đến một máy chủ từ xa do kẻ tấn công kiểm soát.
Ngay cả với phạm vi quyền hạn chỉ đọc (read-only scope), việc đánh cắp mã truy cập OAuth này cũng cho phép kẻ tấn công duy trì quyền truy cập liên tục vào dữ liệu lịch nhạy cảm của người dùng. Điều này có thể dẫn đến các hoạt động gián điệp tiềm tàng, nơi kẻ tấn công theo dõi lịch trình, cuộc họp và các sự kiện cá nhân hoặc công việc của nạn nhân. Ngoài ra, thông tin này có thể được sử dụng để dàn dựng các cuộc tấn công social engineering được cá nhân hóa và thuyết phục hơn, dựa trên thông tin chi tiết về cuộc sống của nạn nhân.
Một điểm đặc biệt nguy hiểm là một bản cập nhật đơn giản có thể leo thang các quyền từ chỉ đọc sang quyền ghi (write access). Điều này sẽ khuếch đại đáng kể mối đe dọa đối với tính toàn vẹn dữ liệu và an ninh người dùng, cho phép kẻ tấn công không chỉ đọc mà còn sửa đổi hoặc xóa các mục lịch, gây ra sự gián đoạn nghiêm trọng hoặc thậm chí phá hoại.
Tác động và Rủi ro kỹ thuật
Những phát hiện này nhấn mạnh một xu hướng rộng lớn hơn trong hệ sinh thái trình duyệt: các tiện ích mở rộng độc hại đang phát triển từ những phiền toái đơn thuần như phần mềm quảng cáo (adware) thành các mối đe dọa tiên tiến, có khả năng khai thác liên tục và không bị phát hiện. Sự kết hợp giữa các chiến thuật social engineering tinh vi và kỹ thuật phức tạp trong các mối đe dọa này đòi hỏi các biện pháp phòng thủ chủ động để bảo vệ dữ liệu cá nhân và tổ chức.
Các rủi ro kỹ thuật chính từ những tiện ích mở rộng này bao gồm:
- Mất dữ liệu nhạy cảm: Đánh cắp thông tin đăng nhập, dữ liệu lịch, thông tin cá nhân.
- Gian lận tài chính: Chuyển hướng đến các trang cờ bạc hoặc lừa đảo thanh toán.
- Gián điệp và giám sát: Theo dõi toàn bộ lưu lượng truy cập web, bao gồm cả các kết nối an toàn bị hạ cấp.
- Gián đoạn hoạt động: Phá vỡ trải nghiệm duyệt web bình thường thông qua các chuyển hướng không mong muốn và cửa sổ bật lên.
- Mở rộng bề mặt tấn công: Biến trình duyệt từ một công cụ hữu ích thành một điểm yếu nghiêm trọng trong hệ thống bảo mật của người dùng.
- Tạo nền tảng cho các cuộc tấn công tiếp theo: Khả năng thích ứng để phân phối phần mềm độc hại hoặc thực hiện các cuộc tấn công tinh vi hơn.
Indicators of Compromise (IOCs)
Dưới đây là các Indicators of Compromise (IOCs) được xác định từ cuộc điều tra này:
- Threat Actor: mre1903
- Malicious Firefox Extensions:
- Shell Shockers
- Little Alchemy 2
- 1v1.LOL
- Krunker io Game
- Five Nights at Freddy’s
- Bubble Spinner
- GimmeGimme
- VPN Grab A Proxy Free
- CalSyncMaster
- Phạm vi Lừa đảo và Tấn công:
- Các trang web lừa đảo hỗ trợ kỹ thuật
- Các trang web cờ bạc
- Các trang cảnh báo virus giả mạo Apple (ví dụ: mã lỗi 0x800VDS)
- Nền tảng thương mại điện tử châu Âu (mục tiêu của liên kết liên kết: bol.com, coolblue.nl)
- Máy chủ từ xa để exfiltrate mã truy cập OAuth (địa chỉ cụ thể không được tiết lộ trong báo cáo)
Khuyến nghị phòng ngừa và tăng cường bảo mật
Phổ hành vi độc hại đáng báo động này, từ chuyển hướng lừa đảo đến đánh cắp thông tin xác thực trắng trợn, nhấn mạnh nhu cầu cấp bách về sự cảnh giác trong hệ sinh thái tiện ích mở rộng trình duyệt. Người dùng được khuyến cáo mạnh mẽ nên kiểm tra các tiện ích mở rộng đã cài đặt, xem xét kỹ lưỡng các quyền mà chúng yêu cầu, và giám sát lưu lượng mạng để phát hiện các bất thường.
Đối với các tổ chức, việc thực thi các danh sách cho phép (allow-lists) là cần thiết để hạn chế việc cài đặt trái phép các tiện ích mở rộng. Điều này giúp kiểm soát chặt chẽ hơn môi trường duyệt web và giảm thiểu bề mặt tấn công.
Vì các tiện ích mở rộng trình duyệt tiếp tục bị khai thác do trạng thái đáng tin cậy và quyền truy cập rộng rãi của chúng trong ngữ cảnh bảo mật trình duyệt, việc kết hợp giữa social engineering và sự tinh vi kỹ thuật trong các mối đe dọa này đòi hỏi các biện pháp phòng thủ chủ động để bảo vệ dữ liệu cá nhân và tổ chức chống lại vector tấn công ngày càng leo thang này.
Các hành động cụ thể bao gồm:
- Kiểm tra thường xuyên: Định kỳ xem xét tất cả các tiện ích mở rộng đã cài đặt, gỡ bỏ những tiện ích không cần thiết hoặc đáng ngờ.
- Kiểm tra quyền hạn: Trước khi cài đặt bất kỳ tiện ích mở rộng nào, hãy đọc kỹ và hiểu rõ các quyền mà nó yêu cầu. Nếu một tiện ích game yêu cầu quyền truy cập vào lịch hoặc dữ liệu cá nhân, đó là một dấu hiệu đỏ.
- Sử dụng trình duyệt an toàn: Đảm bảo trình duyệt luôn được cập nhật phiên bản mới nhất để hưởng lợi từ các bản vá bảo mật.
- Sử dụng công cụ bảo mật: Cân nhắc sử dụng phần mềm bảo mật (antivirus/anti-malware) có khả năng quét và phát hiện các tiện ích mở rộng độc hại.
- Đào tạo người dùng: Giáo dục người dùng về các mối đe dọa từ tiện ích mở rộng, tầm quan trọng của việc kiểm tra nguồn gốc và các dấu hiệu của lừa đảo.
