Một tác nhân đe dọa không rõ danh tính đã được cho là đã tạo ra một số tiện ích mở rộng độc hại cho Trình duyệt Chrome kể từ tháng 2 năm 2024. Chúng ngụy trang thành các tiện ích có vẻ vô hại nhưng lại tích hợp chức năng bí mật để đánh cắp dữ liệu, nhận lệnh và thực thi mã tùy ý.
Nhóm DomainTools Intelligence (DTI) cho biết trong một báo cáo chia sẻ với The Hacker News: "Kẻ tấn công tạo ra các trang web ngụy trang thành các dịch vụ hợp pháp, công cụ năng suất, trợ lý phân tích hoặc tạo quảng cáo và phương tiện truyền thông, dịch vụ VPN, tiền điện tử, ngân hàng, v.v. để hướng dẫn người dùng cài đặt tiện ích mở rộng độc hại tương ứng trên Cửa hàng Chrome trực tuyến của Google (CWS) " .
Mặc dù các tiện ích bổ sung của trình duyệt có vẻ cung cấp các tính năng được quảng cáo, nhưng chúng cũng cho phép đánh cắp thông tin đăng nhập và cookie, chiếm quyền điều khiển phiên, chèn quảng cáo, chuyển hướng độc hại, thao túng lưu lượng truy cập và lừa đảo thông qua thao túng DOM.
Một yếu tố khác có lợi cho tiện ích mở rộng là chúng được cấu hình để tự cấp cho mình các quyền quá mức thông qua tệp manifest.json, cho phép chúng tương tác với mọi trang web được truy cập trên trình duyệt, thực thi mã tùy ý lấy từ miền do kẻ tấn công kiểm soát, thực hiện chuyển hướng độc hại và thậm chí chèn quảng cáo.
Người ta cũng phát hiện ra rằng các tiện ích mở rộng này dựa vào trình xử lý sự kiện " onreset " trên phần tử mô hình đối tượng tài liệu (DOM) tạm thời để thực thi mã, có thể là nhằm mục đích bỏ qua chính sách bảo mật nội dung (CSP).
Một số trang web thu hút được xác định mạo danh các sản phẩm và dịch vụ hợp pháp như DeepSeek, Manus, DeBank, FortiVPN và Site Stats để dụ người dùng tải xuống và cài đặt tiện ích mở rộng. Sau đó, các tiện ích bổ sung sẽ thu thập cookie của trình duyệt, lấy các tập lệnh tùy ý từ máy chủ từ xa và thiết lập kết nối WebSocket để hoạt động như một proxy mạng để định tuyến lưu lượng truy cập.
Hiện tại vẫn chưa rõ nạn nhân bị chuyển hướng đến các trang web giả mạo như thế nào, nhưng DomainTools cho biết việc này có thể liên quan đến các phương pháp thông thường như lừa đảo và mạng xã hội.
"Vì chúng xuất hiện trong cả Chrome Web Store và có các trang web liền kề, chúng có thể trả về kết quả trong các tìm kiếm web thông thường và cho các tìm kiếm trong Chrome store", công ty cho biết. "Nhiều trang web thu hút đã sử dụng ID theo dõi Facebook, điều này cho thấy rõ ràng là chúng đang tận dụng các ứng dụng Facebook / Meta theo một cách nào đó để thu hút khách truy cập trang web. Có thể thông qua các trang Facebook, nhóm và thậm chí là quảng cáo".
Tính đến thời điểm viết bài, vẫn chưa biết ai là người đứng sau chiến dịch này, mặc dù những kẻ tấn công đã thiết lập hơn 100 trang web giả mạo và tiện ích mở rộng Chrome độc hại. Về phần mình, Google đã gỡ bỏ các tiện ích mở rộng này.
Để giảm thiểu rủi ro, người dùng được khuyên nên sử dụng các nhà phát triển đã được xác minh trước khi tải tiện ích mở rộng, xem xét các quyền được yêu cầu, kiểm tra kỹ các đánh giá và không sử dụng các tiện ích mở rộng tương tự.
Tuy nhiên, bạn cũng cần lưu ý rằng xếp hạng có thể bị thao túng và tăng cao một cách giả tạo bằng cách lọc phản hồi tiêu cực của người dùng.
Trong một phân tích được công bố vào cuối tháng trước, DomainTools đã tìm thấy bằng chứng về các tiện ích mở rộng giả mạo DeepSeek, chuyển hướng người dùng đánh giá thấp (1-3 sao) đến biểu mẫu phản hồi riêng tư trên tên miền ai-chat-bot[.]pro, trong khi chuyển hướng những người đánh giá cao (4-5 sao) đến trang đánh giá chính thức của Chrome Web Store.
Công ty bảo mật trình duyệt cho biết các tiện ích mở rộng này được thiết kế để mạo danh các công cụ/thương hiệu phổ biến và có cấu trúc, định dạng và ngôn ngữ tương tự, làm dấy lên khả năng chúng có thể được tạo tự động bằng các công cụ AI.
LayerX cho biết: "Chiến thuật này cho phép các tác nhân đe dọa nhanh chóng mở rộng các nỗ lực của họ trên hàng chục công cụ giả mạo với nỗ lực thủ công tối thiểu". "Những tiện ích mở rộng này cấp cho kẻ tấn công quyền truy cập liên tục vào các phiên của người dùng, cho phép đánh cắp dữ liệu, mạo danh và xâm nhập tiềm ẩn vào môi trường doanh nghiệp".
Or Eshed, CEO của LayerX Security, lưu ý rằng việc xóa các tiện ích bổ sung khỏi Chrome Web Store không tự động gỡ cài đặt chúng khỏi thiết bị của người dùng cuối, mà yêu cầu người dùng phải xóa chúng theo cách thủ công. Có thể truy cập danh sách đầy đủ các tiện ích mở rộng tại đây .
"Đây đặc biệt là vấn đề trong các tổ chức, nơi mà ngay cả một điểm cuối hoặc tài khoản công ty bị xâm phạm cũng có thể dẫn đến việc bị lộ ở cấp độ tổ chức", Eshed cho biết. "Khuyến nghị thực hành tốt nhất của chúng tôi đối với các tổ chức là kiểm tra từng tiện ích mở rộng này riêng lẻ để đảm bảo chúng được xóa khỏi tất cả các điểm cuối của doanh nghiệp".
"Hơn nữa, chúng tôi khuyến khích các tổ chức triển khai các quy tắc bảo mật tiện ích mở rộng chủ động để chặn các chỉ số rủi ro chính như tiện ích mở rộng có nhà xuất bản chưa được xác minh hoặc tiện ích mở rộng liên lạc với các miền đáng ngờ."
Source: https://thehackernews.com/2025/05/100-fake-chrome-extensions-found.html
Nhóm DomainTools Intelligence (DTI) cho biết trong một báo cáo chia sẻ với The Hacker News: "Kẻ tấn công tạo ra các trang web ngụy trang thành các dịch vụ hợp pháp, công cụ năng suất, trợ lý phân tích hoặc tạo quảng cáo và phương tiện truyền thông, dịch vụ VPN, tiền điện tử, ngân hàng, v.v. để hướng dẫn người dùng cài đặt tiện ích mở rộng độc hại tương ứng trên Cửa hàng Chrome trực tuyến của Google (CWS) " .
Mặc dù các tiện ích bổ sung của trình duyệt có vẻ cung cấp các tính năng được quảng cáo, nhưng chúng cũng cho phép đánh cắp thông tin đăng nhập và cookie, chiếm quyền điều khiển phiên, chèn quảng cáo, chuyển hướng độc hại, thao túng lưu lượng truy cập và lừa đảo thông qua thao túng DOM.
Một yếu tố khác có lợi cho tiện ích mở rộng là chúng được cấu hình để tự cấp cho mình các quyền quá mức thông qua tệp manifest.json, cho phép chúng tương tác với mọi trang web được truy cập trên trình duyệt, thực thi mã tùy ý lấy từ miền do kẻ tấn công kiểm soát, thực hiện chuyển hướng độc hại và thậm chí chèn quảng cáo.
Người ta cũng phát hiện ra rằng các tiện ích mở rộng này dựa vào trình xử lý sự kiện " onreset " trên phần tử mô hình đối tượng tài liệu (DOM) tạm thời để thực thi mã, có thể là nhằm mục đích bỏ qua chính sách bảo mật nội dung (CSP).
Một số trang web thu hút được xác định mạo danh các sản phẩm và dịch vụ hợp pháp như DeepSeek, Manus, DeBank, FortiVPN và Site Stats để dụ người dùng tải xuống và cài đặt tiện ích mở rộng. Sau đó, các tiện ích bổ sung sẽ thu thập cookie của trình duyệt, lấy các tập lệnh tùy ý từ máy chủ từ xa và thiết lập kết nối WebSocket để hoạt động như một proxy mạng để định tuyến lưu lượng truy cập.
Hiện tại vẫn chưa rõ nạn nhân bị chuyển hướng đến các trang web giả mạo như thế nào, nhưng DomainTools cho biết việc này có thể liên quan đến các phương pháp thông thường như lừa đảo và mạng xã hội.
"Vì chúng xuất hiện trong cả Chrome Web Store và có các trang web liền kề, chúng có thể trả về kết quả trong các tìm kiếm web thông thường và cho các tìm kiếm trong Chrome store", công ty cho biết. "Nhiều trang web thu hút đã sử dụng ID theo dõi Facebook, điều này cho thấy rõ ràng là chúng đang tận dụng các ứng dụng Facebook / Meta theo một cách nào đó để thu hút khách truy cập trang web. Có thể thông qua các trang Facebook, nhóm và thậm chí là quảng cáo".
Tính đến thời điểm viết bài, vẫn chưa biết ai là người đứng sau chiến dịch này, mặc dù những kẻ tấn công đã thiết lập hơn 100 trang web giả mạo và tiện ích mở rộng Chrome độc hại. Về phần mình, Google đã gỡ bỏ các tiện ích mở rộng này.
Để giảm thiểu rủi ro, người dùng được khuyên nên sử dụng các nhà phát triển đã được xác minh trước khi tải tiện ích mở rộng, xem xét các quyền được yêu cầu, kiểm tra kỹ các đánh giá và không sử dụng các tiện ích mở rộng tương tự.
Tuy nhiên, bạn cũng cần lưu ý rằng xếp hạng có thể bị thao túng và tăng cao một cách giả tạo bằng cách lọc phản hồi tiêu cực của người dùng.
Trong một phân tích được công bố vào cuối tháng trước, DomainTools đã tìm thấy bằng chứng về các tiện ích mở rộng giả mạo DeepSeek, chuyển hướng người dùng đánh giá thấp (1-3 sao) đến biểu mẫu phản hồi riêng tư trên tên miền ai-chat-bot[.]pro, trong khi chuyển hướng những người đánh giá cao (4-5 sao) đến trang đánh giá chính thức của Chrome Web Store.
Cập nhật
Trong một phân tích tiếp theo, LayerX cho biết họ đã xác định được hơn 40 tiện ích mở rộng trình duyệt độc hại là một phần của ba chiến dịch lừa đảo riêng biệt, nhiều tiện ích trong số đó vẫn có thể tải xuống từ Chrome Web Store.Công ty bảo mật trình duyệt cho biết các tiện ích mở rộng này được thiết kế để mạo danh các công cụ/thương hiệu phổ biến và có cấu trúc, định dạng và ngôn ngữ tương tự, làm dấy lên khả năng chúng có thể được tạo tự động bằng các công cụ AI.
LayerX cho biết: "Chiến thuật này cho phép các tác nhân đe dọa nhanh chóng mở rộng các nỗ lực của họ trên hàng chục công cụ giả mạo với nỗ lực thủ công tối thiểu". "Những tiện ích mở rộng này cấp cho kẻ tấn công quyền truy cập liên tục vào các phiên của người dùng, cho phép đánh cắp dữ liệu, mạo danh và xâm nhập tiềm ẩn vào môi trường doanh nghiệp".
Or Eshed, CEO của LayerX Security, lưu ý rằng việc xóa các tiện ích bổ sung khỏi Chrome Web Store không tự động gỡ cài đặt chúng khỏi thiết bị của người dùng cuối, mà yêu cầu người dùng phải xóa chúng theo cách thủ công. Có thể truy cập danh sách đầy đủ các tiện ích mở rộng tại đây .
"Đây đặc biệt là vấn đề trong các tổ chức, nơi mà ngay cả một điểm cuối hoặc tài khoản công ty bị xâm phạm cũng có thể dẫn đến việc bị lộ ở cấp độ tổ chức", Eshed cho biết. "Khuyến nghị thực hành tốt nhất của chúng tôi đối với các tổ chức là kiểm tra từng tiện ích mở rộng này riêng lẻ để đảm bảo chúng được xóa khỏi tất cả các điểm cuối của doanh nghiệp".
"Hơn nữa, chúng tôi khuyến khích các tổ chức triển khai các quy tắc bảo mật tiện ích mở rộng chủ động để chặn các chỉ số rủi ro chính như tiện ích mở rộng có nhà xuất bản chưa được xác minh hoặc tiện ích mở rộng liên lạc với các miền đáng ngờ."
Source: https://thehackernews.com/2025/05/100-fake-chrome-extensions-found.html
