Tất cả các tiện ích này đều tồn tại một tính năng độc hại nguy hiểm, đó là theo dõi mọi hoạt động của người dùng trong trình duyệt, mỗi trang web mà người dùng truy cập thì tiện ích sẽ gửi URL của trang web đó đến một máy chủ từ xa và có thể chèn mã vào các trang web thương mại điện tử đang được truy cập. Hành động này sửa đổi trên trang web để tin tặc nhận được thanh toán liên kết cho bất kỳ mặt hàng nào mà người dùng đã mua.
Các mà các nhà nghiên cứu của đã phát hiện bao gồm:
Tên tiện ích độc hại |
ID mở rộng |
Số lượt tải xuống |
Netflix Party |
mmnbenehknklpbendgmgngeaignppnbe |
800.000 |
Netflix Party 2 |
flijfnhifgdcbhglkneplegafminjnhn |
300.000 |
FlipShope – Price Tracker Extension |
adikhbfjdbjkhelbdnffogkobkekkkej |
80.000 |
Full Page Screenshot Capture – Screenshotting |
pojgkmkfincpdkdgjepkmdekcahmckjp |
200.000 |
AutoBuy Flash Sales |
gbnahglfafmhaehbdmjedfhdmimjcbed |
20.000 |
Phân tích hành vi đánh cắp dữ liệu
Theo báo cáo của McAfee, tất cả 5 tiện ích mở rộng được phát hiện này đều có hành vi hoạt động tương tự. Bài viết sẽ gửi tới quý độc giả phân tích kỹ thuật hoạt động của tiện ích phổ biến nhất là Netflix Party với 800.000 lượt cài đặt.
Tệp Manifest[.]json
Manifest[.]json là một tệp kê khai ứng dụng web (manifest) quy định cách thức hoạt động của tiện ích mở rộng trên hệ thống, nó đặt trang nền là “bg.html”. Tệp HTML này sẽ tải một tập lệnh đa chức năng (B0[.]js), chịu trách nhiệm gửi dữ liệu duyệt web (URL mà người dùng đang truy cập) để đưa mã vào các trang web thương mại điện tử.
Hình 1. Tệp kê khai quy định cách thức hoạt động của tiện ích mở rộng trên hệ thống
Tệp B0[.]js
Tập lệnh B0[.]js chứa nhiều hàm. Trong nội dung của bài viết sẽ tập trung vào các chức năng chịu trách nhiệm gửi các URL đã truy cập đến máy chủ và xử lý phản hồi.
Tiện ích mở rộng của hoạt động bằng cách đăng ký các sự kiện, sau đó chúng sử dụng làm trình kích hoạt để thực hiện một hoạt động nhất định. Các tiện ích mở rộng được phân tích và đăng ký các sự kiện thông qua tính năng “chrome.tabs.onUpdated”, nó sẽ kích hoạt khi người dùng điều hướng đến URL mới trong tab (khi tab được cập nhật). Khi sự kiện này kích hoạt, tiện ích sẽ đặt một biến được gọi là “curl” với URL của tab bằng cách sử dụng biến “tab.url”. Nó tạo ra một số biến khác, sau đó được gửi đến địa chỉ “//d[.]langhort[.]com” (tên miền do tin tặc kiểm soát).
Hình 2. Sử dụng chrome.tabs.onUpdated
Dữ liệu POST sau đó sẽ có định dạng như trong Hình 3 với một số biến như:
Hình 3. Định dạng dữ liệu POST khi người dùng truy cập vào một URL mới
Các thông tin như quốc gia, thành phố, mã zip,… được thu thập thông qua “ip-api[.]com” được hiển thị trong Hình 4.
Hình 4. Chức năng trích xuất dữ liệu người dùng và thông tin thu thập được hiển thị
Khi nhận được URL, langhort[.]com sẽ kiểm tra xem nó có khớp với bất kỳ mục nào trên danh sách các trang web mà tin tặc có liên kết đang hoạt động, máy chủ sẽ phản hồi B0[.]js bằng một trong hai hàm “passf_url” và “setCookie”.
Hình 5. Định dạng JSON của dữ liệu trả về, trong đó có 2 hàm passf_url và setcookie
Trong Hình 5, dữ liệu trả về có định dạng JSON. Phản hồi được kiểm tra bằng cách sử dụng “passf_url” và “setCookie”, sẽ gọi các hàm khác tùy thuộc vào phản hồi chứa những gì.
Thứ nhất, nếu kết quả phản hồi là “result[‘c’]” thì tiện ích mở rộng sẽ truy vấn URL được trả về. Sau đó, các tiện ích sẽ kiểm tra phản hồi và nếu trạng thái là 200 hoặc 404, nó sẽ kiểm tra xem truy vấn có phản hồi bằng URL hay không. Nếu có thì sẽ chèn URL nhận được từ máy chủ dưới dạng iframe trên trang web đang được truy cập.
Hình 6. Khai báo của hàm passf_url
Thứ hai, nếu kết quả phản hồi là “result[‘e’]” thì phần mở rộng sẽ chèn kết quả dưới dạng cookie và ra lệnh cho B0[.]js sửa đổi hoặc thay thế nó bằng cookie được cung cấp nếu tiện ích mở rộng đã được cấp các quyền liên quan để thực hiện hành động này.
Hình 7. Khai báo của hàm setCookie
Trì hoãn thời gian để tránh bị phát hiện
Để tránh bị phát hiện, phân tích và gây nhầm lẫn cho các nhà nghiên cứu cũng như sự cảnh giác đến từ người dùng, một số tiện ích mở rộng có tính năng trì hoãn 15 ngày kể từ thời điểm cài đặt trước khi chúng bắt đầu thực hiện các hoạt động trên trình duyêt.
Hình 8. Một số tiện ích mở rộng đợi 15 ngày sau khi cài đặt mới thực hiện hoạt động để tránh bị phát hiện
Kết luận
McAfee khuyến cáo người dùng nên thận trọng khi cài đặt các tiện ích mở rộng của Chrome và chú ý đến các quyền được yêu cầu. Các quyền sẽ được Chrome hiển thị trước khi cài đặt tiện ích mở rộng, vì vậy người dùng nên thực hiện thêm các bước để xác minh tính xác thực nếu tiện ích đang yêu cầu quyền cho phép nó chạy trên mọi trang web mà người dùng truy cập.
Hiện tại, 2 tiện ích mở rộng của Netflix Party cùng với AutoBuy Flash Sales đã bị xóa khỏi cửa hàng Chrome Web Store, nhưng điều này không xóa chúng khỏi trình duyệt web. Các tiện ích còn lại vẫn đang hoạt động, thậm chí tiện ích Full Page Screenshot Capture đang được gắn nhãn “Nổi bật” (Featured) trên cửa hàng ứng dụng. Vì vậy, nếu như đã cài đặt bất kỳ những tiện ích nào trong số này, người dùng nên thực hiện thao tác thủ công để gỡ bỏ chúng ngay lập tức.
Hồng Đạt
(Tổng hợp)
14:00 | 21/11/2022
09:00 | 09/08/2022
16:00 | 19/10/2022
09:00 | 22/04/2022
16:00 | 16/12/2022
13:00 | 26/10/2022
11:00 | 19/04/2023
08:00 | 18/04/2022
13:00 | 04/06/2021
22:00 | 15/08/2022
07:00 | 15/12/2023
Chiều 14/12, tại Hà Nội, Ban Chấp hành Hiệp hội An ninh mạng quốc gia nhiệm kỳ 2023-2028 đã tổ chức Phiên họp lần thứ nhất. Thượng tướng Lương Tam Quang, Ủy viên Trung ương Đảng, Thứ trưởng Bộ Công an, Chủ tịch Hiệp hội chủ trì phiên họp.
08:00 | 28/11/2023
Theo báo cáo của Chính phủ Australia, các nhóm tin tặc được nhà nước bảo trợ đã gia tăng các hoạt động tấn công mạng vào cơ sở hạ tầng quan trọng của nước này, đồng thời cho biết thêm rằng thỏa thuận quốc phòng mới với Anh và Mỹ có thể khiến Australia trở thành mục tiêu của nhiều chiến dịch tấn công mạng mới.
15:00 | 16/11/2023
Sáng ngày 16/11/2023, Trung tâm Công nghệ thông tin và Giám sát an ninh mạng, Ban Cơ yếu Chính phủ đã tổ chức Hội thảo Sơ kết công tác giám sát an toàn thông tin năm 2023 nhằm đánh giá kết quả công tác giám sát an toàn thông tin trong năm 2023 và phương hướng nhiệm vụ năm 2024.
17:00 | 03/10/2023
Trong 03 ngày từ 25 - 28/9/2023, Đoàn công tác Ban Cơ yếu Chính phủ do đồng chí Nguyễn Đăng Lực, Phó Trưởng ban Ban Cơ yếu Chính phủ làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Hoà Bình, Sơn La và Điện Biên nhằm tăng cường sự phối hợp và đẩy mạnh việc triển khai các nhiệm vụ về lĩnh vực cơ yếu, bảo mật và an toàn thông tin.
Lệnh cấm điện thoại di động trong trường học tại Hà Lan có hiệu lực từ tháng 1/2024. Bên cạnh điện thoại di động, chính quyền Hà Lan sẽ cấm cả iPad, đồng hồ thông minh và các thiết bị tương tự tại trường học.
17:00 | 22/12/2023
Ngày 14/12, trong khuôn khổ Giao lưu hữu nghị Quốc phòng biên giới Việt Nam - Lào - Campuchia lần thứ nhất, tại khu vực biên giới chung ba nước Việt Nam - Lào - Campuchia đã diễn ra cuộc gặp thường niên Bộ trưởng Bộ Quốc phòng ba nước Việt Nam - Lào- Campuchia. Đại tướng Phan Văn Giang, Uỷ viên Bộ Chính trị, Bộ trưởng Bộ Quốc phòng Việt Nam; Đại tướng Chansamone Chanyalath, Ủy viên Bộ Chính trị Ban Chấp hành Trung ương Đảng Nhân dân Cách mạng Lào, Phó Thủ tướng Chính phủ, Bộ trưởng Bộ Quốc phòng Lào; Đại tướng Tea Seiha, Phó Thủ tướng Chính phủ, Bộ trưởng Bộ Quốc phòng Campuchia đồng chủ trì giao lưu.
15:00 | 18/12/2023
Ngày 8/12 vừa qua, các nước thành viên Liên minh châu Âu (EU) đã đạt được thỏa thuận về một bộ quy tắc đối với việc quản lý trí tuệ nhân tạo (AI). Đây được coi là văn bản mang tính bước ngoặt, là nền tảng để xây dựng bộ quy tắc đầy đủ về trí tuệ nhân tạo, cũng là khuôn khổ pháp lý đầu tiên trong lĩnh vực này.
14:00 | 14/12/2023