Tất cả các tiện ích này đều tồn tại một tính năng độc hại nguy hiểm, đó là theo dõi mọi hoạt động của người dùng trong trình duyệt, mỗi trang web mà người dùng truy cập thì tiện ích sẽ gửi URL của trang web đó đến một máy chủ từ xa và có thể chèn mã vào các trang web thương mại điện tử đang được truy cập. Hành động này sửa đổi trên trang web để tin tặc nhận được thanh toán liên kết cho bất kỳ mặt hàng nào mà người dùng đã mua.
Các mà các nhà nghiên cứu của đã phát hiện bao gồm:
Tên tiện ích độc hại |
ID mở rộng |
Số lượt tải xuống |
Netflix Party |
mmnbenehknklpbendgmgngeaignppnbe |
800.000 |
Netflix Party 2 |
flijfnhifgdcbhglkneplegafminjnhn |
300.000 |
FlipShope – Price Tracker Extension |
adikhbfjdbjkhelbdnffogkobkekkkej |
80.000 |
Full Page Screenshot Capture – Screenshotting |
pojgkmkfincpdkdgjepkmdekcahmckjp |
200.000 |
AutoBuy Flash Sales |
gbnahglfafmhaehbdmjedfhdmimjcbed |
20.000 |
Phân tích hành vi đánh cắp dữ liệu
Theo báo cáo của McAfee, tất cả 5 tiện ích mở rộng được phát hiện này đều có hành vi hoạt động tương tự. Bài viết sẽ gửi tới quý độc giả phân tích kỹ thuật hoạt động của tiện ích phổ biến nhất là Netflix Party với 800.000 lượt cài đặt.
Tệp Manifest[.]json
Manifest[.]json là một tệp kê khai ứng dụng web (manifest) quy định cách thức hoạt động của tiện ích mở rộng trên hệ thống, nó đặt trang nền là “bg.html”. Tệp HTML này sẽ tải một tập lệnh đa chức năng (B0[.]js), chịu trách nhiệm gửi dữ liệu duyệt web (URL mà người dùng đang truy cập) để đưa mã vào các trang web thương mại điện tử.
Hình 1. Tệp kê khai quy định cách thức hoạt động của tiện ích mở rộng trên hệ thống
Tệp B0[.]js
Tập lệnh B0[.]js chứa nhiều hàm. Trong nội dung của bài viết sẽ tập trung vào các chức năng chịu trách nhiệm gửi các URL đã truy cập đến máy chủ và xử lý phản hồi.
Tiện ích mở rộng của hoạt động bằng cách đăng ký các sự kiện, sau đó chúng sử dụng làm trình kích hoạt để thực hiện một hoạt động nhất định. Các tiện ích mở rộng được phân tích và đăng ký các sự kiện thông qua tính năng “chrome.tabs.onUpdated”, nó sẽ kích hoạt khi người dùng điều hướng đến URL mới trong tab (khi tab được cập nhật). Khi sự kiện này kích hoạt, tiện ích sẽ đặt một biến được gọi là “curl” với URL của tab bằng cách sử dụng biến “tab.url”. Nó tạo ra một số biến khác, sau đó được gửi đến địa chỉ “//d[.]langhort[.]com” (tên miền do tin tặc kiểm soát).
Hình 2. Sử dụng chrome.tabs.onUpdated
Dữ liệu POST sau đó sẽ có định dạng như trong Hình 3 với một số biến như:
Hình 3. Định dạng dữ liệu POST khi người dùng truy cập vào một URL mới
Các thông tin như quốc gia, thành phố, mã zip,… được thu thập thông qua “ip-api[.]com” được hiển thị trong Hình 4.
Hình 4. Chức năng trích xuất dữ liệu người dùng và thông tin thu thập được hiển thị
Khi nhận được URL, langhort[.]com sẽ kiểm tra xem nó có khớp với bất kỳ mục nào trên danh sách các trang web mà tin tặc có liên kết đang hoạt động, máy chủ sẽ phản hồi B0[.]js bằng một trong hai hàm “passf_url” và “setCookie”.
Hình 5. Định dạng JSON của dữ liệu trả về, trong đó có 2 hàm passf_url và setcookie
Trong Hình 5, dữ liệu trả về có định dạng JSON. Phản hồi được kiểm tra bằng cách sử dụng “passf_url” và “setCookie”, sẽ gọi các hàm khác tùy thuộc vào phản hồi chứa những gì.
Thứ nhất, nếu kết quả phản hồi là “result[‘c’]” thì tiện ích mở rộng sẽ truy vấn URL được trả về. Sau đó, các tiện ích sẽ kiểm tra phản hồi và nếu trạng thái là 200 hoặc 404, nó sẽ kiểm tra xem truy vấn có phản hồi bằng URL hay không. Nếu có thì sẽ chèn URL nhận được từ máy chủ dưới dạng iframe trên trang web đang được truy cập.
Hình 6. Khai báo của hàm passf_url
Thứ hai, nếu kết quả phản hồi là “result[‘e’]” thì phần mở rộng sẽ chèn kết quả dưới dạng cookie và ra lệnh cho B0[.]js sửa đổi hoặc thay thế nó bằng cookie được cung cấp nếu tiện ích mở rộng đã được cấp các quyền liên quan để thực hiện hành động này.
Hình 7. Khai báo của hàm setCookie
Trì hoãn thời gian để tránh bị phát hiện
Để tránh bị phát hiện, phân tích và gây nhầm lẫn cho các nhà nghiên cứu cũng như sự cảnh giác đến từ người dùng, một số tiện ích mở rộng có tính năng trì hoãn 15 ngày kể từ thời điểm cài đặt trước khi chúng bắt đầu thực hiện các hoạt động trên trình duyêt.
Hình 8. Một số tiện ích mở rộng đợi 15 ngày sau khi cài đặt mới thực hiện hoạt động để tránh bị phát hiện
Kết luận
McAfee khuyến cáo người dùng nên thận trọng khi cài đặt các tiện ích mở rộng của Chrome và chú ý đến các quyền được yêu cầu. Các quyền sẽ được Chrome hiển thị trước khi cài đặt tiện ích mở rộng, vì vậy người dùng nên thực hiện thêm các bước để xác minh tính xác thực nếu tiện ích đang yêu cầu quyền cho phép nó chạy trên mọi trang web mà người dùng truy cập.
Hiện tại, 2 tiện ích mở rộng của Netflix Party cùng với AutoBuy Flash Sales đã bị xóa khỏi cửa hàng Chrome Web Store, nhưng điều này không xóa chúng khỏi trình duyệt web. Các tiện ích còn lại vẫn đang hoạt động, thậm chí tiện ích Full Page Screenshot Capture đang được gắn nhãn “Nổi bật” (Featured) trên cửa hàng ứng dụng. Vì vậy, nếu như đã cài đặt bất kỳ những tiện ích nào trong số này, người dùng nên thực hiện thao tác thủ công để gỡ bỏ chúng ngay lập tức.
Hồng Đạt
(Tổng hợp)
14:00 | 21/11/2022
09:00 | 09/08/2022
16:00 | 19/10/2022
09:00 | 22/04/2022
16:00 | 16/12/2022
13:00 | 26/10/2022
11:00 | 19/04/2023
08:00 | 18/04/2022
13:00 | 04/06/2021
22:00 | 15/08/2022
07:00 | 23/10/2024
Những kẻ tấn công mạng đang nhắm mục tiêu vào Các Tiểu vương quốc Ả Rập Thống nhất (UAE), Ả Rập Xê Út và các quốc gia khác trong khu vực Hội đồng hợp tác vùng Vịnh (GCC). Khu vực này thường là mục tiêu ưa chuộng của các tin tặc bởi đây là trung tâm thương mại và buôn bán, có nhiều nền kinh tế giàu mạnh và vì lập trường của các quốc gia trong khu vực Trung Đông này về một số vấn đề địa chính trị.
10:00 | 08/10/2024
Công ty cung cấp giải pháp an ninh mạng OPSWAT (Mỹ) mới đây đã công bố Báo cáo về các mối đe dọa bảo mật email đối với các tổ chức cơ sở hạ tầng quan trọng.
07:00 | 23/09/2024
Hai công dân Kazakhstan và Nga đã bị truy tố tại Mỹ vì bị cáo buộc tham gia quản lý một diễn đàn Dark Web có tên là WWH Club, chuyên bán thông tin cá nhân và thông tin tài chính nhạy cảm.
07:00 | 10/09/2024
Chính phủ Úc cho biết nước này có kế hoạch đưa ra các quy tắc quản lý trí tuệ nhân tạo (AI) trong bối cảnh các công cụ AI đang được triển khai nhanh chóng bởi các doanh nghiệp và trong cuộc sống hàng ngày.
Sáng ngày 23/10, tại Hà Nội, Học viện Kỹ thuật mật mã (Ban Cơ yếu Chính phủ) long trọng tổ chức Lễ khai giảng năm học 2024 - 2025. Thiếu tướng Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ dự và chỉ đạo buổi Lễ.
17:00 | 23/10/2024
Microsoft cho biết trong báo cáo thường niên ngày 15/10/2024 rằng Israel đã trở thành mục tiêu hàng đầu của các cuộc tấn công mạng của Iran kể từ khi cuộc chiến tranh ở Gaza bắt đầu vào năm ngoái.
10:00 | 25/10/2024
Cách mạng công nghiệp 4.0 đang trở thành hiện thực, một phần không nhỏ nhờ công nghệ Internet vạn vật công nghiệp (IIoT) và các mạng 5G dùng riêng. Đến năm 2029, thị trường cách mạng công nghiệp 4.0 dự kiến sẽ đạt giá trị 377,30 tỷ USD. Bà Marie Hattar, Phó Chủ tịch cấp cao Keysight Technologies (Hoa Kỳ), đã chia sẻ tầm quan trọng của 5G trong hành trình cách mạng công nghiệp 4.0.
13:00 | 22/10/2024