Chrome bị xâm nhập để phát tán quảng cáo và các chương trình độc hại bởi hàng loạt extension

Nếu đang dùng trình duyệt Chrome, bạn hãy kiểm tra xem mình có đang cài đặt các extension dưới đây hay không?

Một vụ tấn công mới của các tin tặc đang diễn ra với các công cụ được
lây nhiễm từ một số phần mở rộng (extension) của trình duyệt Chrome.

Kẻ tấn công đã phát triển các công cụ lừa đảo nhằm xâp nhập vào các
extension của Chrome để đưa ra các cảnh báo an ninh giả mạo nhằm hù dọa
nạn nhân, khiến họ lo sợ và tự sửa chữa máy tính của mình.

Nhà nghiên cứu Proofpoint Kafeine đã xác định sáu tiện ích mở rộng
Chrome bị xâm nhập gần đây (sau khi kẻ tấn công lừa đảo được thông tin
đăng nhập Tài khoản Google của nhà phát triển).

Danh sách các phần mở rộng bị tấn công bao gồm Web Developer 0.4.9,
Chrometana 1.1.3, Infinity New Tab 3.12.3, CopyFish 2.8.5, Web Paint
1.2.1, và Social Fixer 20.1.1 (bị xâm nhập trong tháng 8). Trong khi đó,
Kafeine tin rằng TouchVPN và Betternet VPN cũng bị tin tặc xâm nhập hồi
tháng 6 năm nay với cùng một kỹ thuật như vậy.

Mục đích chính của cuộc tấn công vào các nhà phát triển tiện ích của
Chrome là chuyển hướng người dùng Chrome từ các liên kết quảng cáo hợp
pháp sang các chương trình độc hại, cuối cùng là tạo ra tiền cho kẻ tấn
công thông qua việc đánh cắp lưu lượng truy cập từ các mạng quảng cáo
hợp pháp.

Những kẻ tấn công cũng đã thu thập thông tin của người sử dụng
Cloudflare, một dịch vụ sẵn có cho các nhà khai thác trang web. Các
chuyên gia dự đoán nó có thể được sử dụng cho các cuộc tấn công trong
tương lai.

Các phần mở rộng bị tấn công đã được mã hóa chủ yếu để thay thế quảng
cáo biểu ngữ trên các trang web dành cho người lớn (hoặc một số trang
web khác) với mục đích ăn cắp lưu lượng truy cập từ các mạng quảng cáo
hợp pháp.

Kafeine cho biết: “Trong nhiều trường hợp, nạn nhân đã được gửi
các cảnh báo JavaScript giả mạo khiến họ phải sửa chữa máy tính của
mình, sau đó chuyển hướng họ tới các chương trình liên kết có thể làm
phát sinh lợi nhuận cho kẻ tấn công”.

Ít nhất một trong số các chương trình liên kết nhận được lưu lượng
truy cập bị tấn công đã kích hoạt PCKeeper - là một giải pháp mạnh mẽ
được thiết kế để giúp cho hệ thống của bạn được an toàn, chạy nhanh hơn
và tối ưu hóa máy tính chỉ trong vài bước. Bên cạnh đó, PCKeeper còn là
một gói các tiện ích hệ thống quan trọng được sử dụng để tiến hành các
nhiệm vụ khác nhau trên máy tính.

Đoạn mã JavaScript trong các tiện ích mở rộng bị xâm nhập cũng đã tải
xuống một tệp tin được Cloudflare thiết kế để thu thập thông tin người
đăng nhập vào dịch vụ của họ. Cloudflare đã ngừng cung cấp tệp tin này
sau khi nhận được cảnh báo từ Proofpoint.

Các email lừa đảo đã làm tổn hại tài
khoản Google của nhà phát triển đến từ nhóm Chrome Web Store. Google cho
biết các nhà phát triển đã không tuân thủ chính sách của họ và các phần
mở rộng này sẽ được gỡ bỏ và chỉ được phục hồi khi vấn đề được khắc
phục.

Theo báo cáo gần đây của Bleeping Computer, nhóm bảo mật của Google
đã gửi một email cảnh báo đến các nhà phát triển phần mở rộng cho Chrome
để thao dõi những cuộc tấn công lừa đảo. Những kẻ tấn công đã tạo ra
một bản sao “thuyết phục” trang đăng nhập tài khoản thực của Google.

Đây không phải là lần đầu tiên tiện ích mở rộng của Chrome bị tấn công để quảng bá phần mềm quảng cáo và các mạng liên kết. Một vụ tấn công tương tự cũng đã xảy ra hồi năm 2014.

Tham khảo: ZDNet

Theo genk.vn