Một chiến dịch tấn công chiếm quyền điều khiển trình duyệt tinh vi được mệnh danh là “RedDirection” đã được khám phá bởi Koi Security, ảnh hưởng đến hơn 1,7 triệu người dùng thông qua 11 tiện ích mở rộng Chrome đã được Google xác minh. Hoạt động này cũng mở rộng sang Microsoft Edge, nâng tổng số nạn nhân lên 2,3 triệu lượt lây nhiễm trên cả hai nền tảng. Kẻ tấn công đã khai thác các tín hiệu tin cậy như huy hiệu xác minh, vị trí nổi bật và số lượt cài đặt cao để phân phối phần mềm độc hại dưới vỏ bọc của các công cụ năng suất và giải trí hợp pháp.
Các tiện ích mở rộng như “Color Picker, Eyedropper Geco colorpick”, “Video Speed Controller” và “Emoji keyboard online” nằm trong số những công cụ bị lợi dụng. Ban đầu, chúng cung cấp chức năng như đã hứa, nhưng lại bí mật nhúng các cơ chế giám sát và chuyển hướng độc hại. Chiến dịch RedDirection nổi bật nhờ chiến lược đánh lừa tinh vi: duy trì trạng thái lành tính trong nhiều năm trước khi đưa mã độc vào thông qua các bản cập nhật ngầm. Chiến thuật này đã giúp chúng vượt qua sự giám sát của cả Google và Microsoft trên các cửa hàng tiện ích.
Cơ chế Hoạt động và Tác động Kỹ thuật
Chiến thuật “Ngủ Đông” và Cập nhật Lén lút
Chiến dịch RedDirection thể hiện một sự phát triển đáng lo ngại trong các kỹ thuật tấn công, nơi các tác nhân đe dọa không chỉ phát tán phần mềm độc hại mà còn duy trì sự hiện diện của chúng một cách thầm lặng trong thời gian dài. Các tiện ích mở rộng ban đầu được cung cấp dưới dạng các công cụ hữu ích, đáp ứng nhu cầu thực tế của người dùng, từ đó xây dựng được một lượng lớn người dùng tin cậy và đạt được số lượt cài đặt cao. Sự tin tưởng này là yếu tố cốt lõi mà kẻ tấn công đã khai thác triệt để.
Điểm đáng chú ý là chiến lược “ngủ đông” của chúng. Trong nhiều năm, các tiện ích này hoạt động hoàn toàn bình thường, không gây ra bất kỳ dấu hiệu đáng ngờ nào. Điều này giúp chúng vượt qua các quy trình kiểm duyệt ban đầu của các cửa hàng tiện ích, vốn thường tập trung vào việc phát hiện mã độc ngay từ khi tải lên. Sau khi đã thiết lập được một cơ sở người dùng rộng lớn và giành được sự tin cậy, kẻ tấn công đã triển khai các bản cập nhật ngầm (silent updates). Các bản cập nhật này được cài đặt tự động mà không cần sự can thiệp hay chấp thuận rõ ràng của người dùng, biến các công cụ “lành tính” ban đầu thành nền tảng giám sát tinh vi.
Việc bỏ qua quy trình chấp thuận của người dùng và khả năng cập nhật lén lút đã cho phép kẻ tấn công liên tục thay đổi và nâng cấp khả năng độc hại của phần mềm. Điều này cũng là một thách thức lớn đối với các hệ thống bảo mật tự động của các cửa hàng ứng dụng, vốn gặp khó khăn trong việc phát hiện những thay đổi độc hại được triển khai dần dần theo thời gian thay vì xuất hiện ngay từ đầu.
Theo dõi Dữ liệu và Chuyển hướng Độc hại
Điều tra của Koi Security tiết lộ rằng phần mềm độc hại kích hoạt trên mỗi lần cập nhật tab trình duyệt. Điều này có nghĩa là mỗi khi người dùng mở một tab mới hoặc làm mới một tab hiện có, mã độc sẽ được thực thi, bắt đầu quá trình thu thập và gửi dữ liệu. Phần mềm độc hại này có khả năng theo dõi mọi lượt truy cập trang web, ghi lại chi tiết URL và thu thập các dữ liệu duyệt web nhạy cảm khác. Dữ liệu này sau đó được chuyển tiếp đến các máy chủ từ xa, tiềm ẩn nguy cơ rò rỉ thông tin cá nhân và hành vi trực tuyến của người dùng.
Bên cạnh việc giám sát, cơ chế này còn cho phép kẻ tấn công chuyển hướng người dùng đến các trang web lừa đảo thông qua hạ tầng máy chủ chỉ huy và kiểm soát (C2). Các tên miền C2 được xác định bao gồm admitclick.net và click.videocontrolls.com. Việc sử dụng hạ tầng C2 này cho phép kẻ tấn công duy trì kiểm soát, thay đổi các mục tiêu chuyển hướng và điều chỉnh chiến thuật tấn công theo thời gian thực.
Mỗi tiện ích mở rộng trong chiến dịch RedDirection được phát hiện hoạt động với các tên miền phụ (subdomains) C2 riêng lẻ. Kỹ thuật này giúp che giấu mối liên hệ với một hạ tầng tấn công tập trung, khiến việc phát hiện và chặn toàn bộ chiến dịch trở nên khó khăn hơn đối với các hệ thống bảo mật truyền thống. Sự đa dạng của các tiện ích bị ảnh hưởng trải rộng qua nhiều danh mục khác nhau như dự báo thời tiết, chủ đề tối (dark themes), tăng âm lượng và proxy VPN cho các nền tảng như Discord và TikTok, cho thấy một nỗ lực nhằm tối đa hóa phạm vi tiếp cận người dùng.
Nguy cơ Tấn công và Hậu quả Tiềm tàng
Khả năng giám sát và chuyển hướng của chiến dịch RedDirection có thể dẫn đến những kịch bản tấn công tàn khốc. Người dùng có thể bị chuyển hướng một cách không chủ ý đến các trang web ngân hàng giả mạo hoặc các trang cập nhật giả mạo của các ứng dụng phổ biến như Zoom. Mục tiêu cuối cùng là lừa người dùng nhập thông tin xác thực cá nhân (tên đăng nhập, mật khẩu) hoặc cài đặt thêm các phần mềm độc hại khác, bao gồm ransomware, spyware, hoặc keylogger, mà không hề hay biết.
Kiểu tấn công này cũng mở ra cánh cửa cho các cuộc tấn công Man-in-the-Middle (MitM). Bằng cách chiếm quyền kiểm soát luồng dữ liệu duyệt web, kẻ tấn công có thể chèn nội dung độc hại, sửa đổi các giao dịch hoặc đánh cắp thông tin trong quá trình truyền tải. Điều này đặc biệt nguy hiểm đối với các hoạt động nhạy cảm như giao dịch tài chính trực tuyến hoặc truy cập vào các tài khoản cá nhân có giá trị.
Phân tích Thất bại Bảo mật Thị trường Tiện ích
Khai thác Tín hiệu Tin cậy và Thất bại Chuỗi Cung ứng
Chiến dịch RedDirection đã khai thác thành công các tín hiệu tin cậy của người dùng, như huy hiệu xác minh của Google và số lượt cài đặt cao (hơn 100.000 lượt cài đặt mỗi tiện ích). Điều này làm nổi bật một lỗ hổng nghiêm trọng trong chuỗi cung ứng bảo mật của các thị trường tiện ích. Các quy trình xác minh, được thiết kế để mở rộng quy mô hơn là kiểm tra nghiêm ngặt, không chỉ thất bại trong việc phát hiện phần mềm độc hại mà còn vô tình khuếch đại phạm vi tiếp cận của nó thông qua các chương trình quảng bá hoặc vị trí nổi bật.
Khi một tiện ích mở rộng được “xác minh” bởi một nền tảng lớn như Google hoặc Microsoft, người dùng thường có xu hướng tin tưởng vào tính an toàn của nó. Điều này tạo ra một “mạng lưới tin cậy” mà kẻ tấn công đã lợi dụng để phát tán mã độc. Số lượt cài đặt cao cũng là một yếu tố thúc đẩy niềm tin, khi người dùng cho rằng một tiện ích phổ biến thì chắc chắn an toàn.
Điểm Yếu Hệ thống trong Quản lý Tiện ích
Hoạt động tấn công đa nền tảng này nhấn mạnh các lỗ hổng hệ thống trong cách các thị trường trình duyệt xử lý cập nhật và kiểm duyệt tiện ích mở rộng. Việc cho phép các bản cập nhật tự động, không có sự can thiệp của người dùng và quy trình kiểm duyệt không đủ chặt chẽ đối với các bản cập nhật sau này đã biến các hệ sinh thái đáng tin cậy thành kênh phân phối cho phần mềm độc hại tinh vi. Điều này đặt ra câu hỏi về trách nhiệm của các nhà cung cấp nền tảng trong việc bảo vệ người dùng khỏi các mối đe dọa phát triển qua thời gian.
Chỉ dẫn Hành động và Khuyến nghị Bảo mật
Biện pháp Khắc phục Khẩn cấp
Koi Security cảnh báo rằng đây không phải là một sự cố đơn lẻ mà là một bước ngoặt phơi bày mô hình bảo mật yếu kém của các thị trường hiện tại. Do đó, Koi Security khuyến nghị người dùng thực hiện các hành động khẩn cấp sau:
- Gỡ bỏ các tiện ích mở rộng bị ảnh hưởng: Xác định và gỡ cài đặt ngay lập tức bất kỳ tiện ích mở rộng nào có liên quan đến chiến dịch RedDirection hoặc có dấu hiệu đáng ngờ.
- Xóa dữ liệu duyệt trình: Xóa lịch sử duyệt web, bộ nhớ cache và cookie để loại bỏ mọi dấu vết của hoạt động độc hại và dữ liệu đã được thu thập.
- Chạy quét phần mềm độc hại: Sử dụng phần mềm diệt virus hoặc công cụ chống phần mềm độc hại đáng tin cậy để quét hệ thống và đảm bảo không có mã độc nào khác được cài đặt.
Nâng cao Nhận thức và Kiểm soát
Khi các tác nhân đe dọa phát triển để khai thác hạ tầng “ngủ đông” trong thời gian dài, nhu cầu về quản trị mạnh mẽ và khả năng hiển thị rõ ràng vào mã của bên thứ ba trở nên tối quan trọng. Người dùng và tổ chức cần thận trọng hơn khi cài đặt tiện ích mở rộng, ngay cả khi chúng có vẻ hợp pháp hoặc đã được “xác minh”. Việc thường xuyên kiểm tra các quyền (permissions) mà tiện ích yêu cầu và hạn chế cài đặt những tiện ích không thực sự cần thiết có thể giúp giảm thiểu rủi ro.
Indicators of Compromise (IOCs)
Các chỉ số thỏa hiệp (IOCs) liên quan đến chiến dịch RedDirection bao gồm:
- Tên miền Chỉ huy và Kiểm soát (C2):
admitclick.netclick.videocontrolls.com
- Các Tiện ích Mở rộng Đã Xác định (ví dụ):
- Color Picker, Eyedropper Geco colorpick
- Video Speed Controller
- Emoji keyboard online
