Một chiến dịch tấn công mạng quy mô lớn vừa bị phanh phui, gây chấn động cộng đồng người dùng máy tính toàn cầu khi hàng triệu thiết bị đã bị nhiễm phần mềm độc hại. Điều đáng lo ngại nhất là nguồn lây nhiễm lại đến từ chính những công cụ mà chúng ta tin tưởng và sử dụng hàng ngày: các tiện ích mở rộng (extension) trên trình duyệt Chrome và Microsoft Edge. Theo các báo cáo mới nhất, những ứng dụng này vốn dĩ là phần mềm hợp pháp, nhưng đã bị kẻ xấu âm thầm cấy mã độc vào thông qua các bản cập nhật, biến máy tính của người dùng thành công cụ gián điệp phục vụ cho mục đích đen tối.
Chiến dịch tấn công quy mô lớn qua tiện ích trình duyệt
Các nhà nghiên cứu tại công ty an ninh mạng Koi đã phát hiện ra một chiến dịch phần mềm độc hại vô cùng tinh vi, lây nhiễm sang hàng triệu máy tính thông qua các tiện ích mở rộng có sẵn trên Cửa hàng trực tuyến Chrome (Chrome Web Store) và trang web tiện ích bổ sung của Microsoft Edge. Đứng sau chiến dịch nguy hiểm này là một tổ chức tội phạm mạng có nguồn gốc từ Trung Quốc, được giới chuyên môn đặt tên là “ShadyPanda”. Nhóm hacker này đang tích cực thực hiện ít nhất hai chiến dịch phát tán mã độc riêng biệt bằng cách vũ khí hóa các tiện ích trình duyệt.
Chiến dịch đầu tiên liên quan đến ít nhất năm tiện ích mở rộng. Điều khiến người dùng mất cảnh giác là các tiện ích này đã hoạt động hoàn toàn bình thường và hợp pháp trong khoảng thời gian dài lên tới 5 năm trước khi bất ngờ “trở mặt”. Trong số đó, đáng chú ý nhất là một công cụ dọn dẹp bộ nhớ đệm (cache cleaner) có tên là Clean Master. Ứng dụng này đã thu hút hơn 200.000 người sử dụng và thậm chí còn đạt được trạng thái “Nổi bật” (Featured) và “Đã xác minh” (Verified) đầy uy tín trên Chrome Web Store trước khi bị Google phát hiện và gỡ bỏ.
Tuy nhiên, mối nguy hiểm vẫn chưa dừng lại ở đó. Chiến dịch thứ hai bao gồm thêm năm tiện ích mở rộng khác, với quy mô ảnh hưởng lớn hơn nhiều. Điển hình là tiện ích quản lý tab có tên WeTab, sở hữu lượng người dùng khổng lồ với hơn 3 triệu lượt cài đặt. Tính tổng cộng, các tiện ích trong mạng lưới độc hại này đang có hơn 4 triệu người dùng trên toàn thế giới. Khác với Clean Master và các tiện ích trong chiến dịch đầu tiên đã bị xử lý, tất cả 5 tiện ích bổ sung trong chiến dịch thứ hai này hiện vẫn đang tồn tại và hoạt động (live) trên trang web tiện ích bổ sung của Microsoft Edge, đặt người dùng vào tình trạng rủi ro cao độ.
Cách thức hoạt động tinh vi của phần mềm gián điệp
Theo báo cáo điều tra, các đoạn mã độc hại đã được kẻ tấn công bí mật tiêm vào các tiện ích này trong năm 2024. Hành động này đã biến những công cụ hữu ích trở thành phần mềm gián điệp (spyware) nguy hiểm. Một khi đã xâm nhập vào máy tính của nạn nhân, chúng sẽ âm thầm thu thập dữ liệu duyệt web của người dùng. Tất cả thông tin nhạy cảm này sau đó được gửi theo thời gian thực về các máy chủ bên ngoài đặt tại Trung Quốc.
Giải thích về phương thức hoạt động (modus operandi) của những kẻ tấn công, các nhà nghiên cứu cho biết các tiện ích bị nhiễm mã độc này hoạt động tập hợp lại như một khung thực thi mã từ xa. Nói một cách dễ hiểu, chúng có khả năng tự động tải xuống và chạy các đoạn mã JavaScript bên trong trình duyệt mà không cần bất kỳ sự đồng ý hay hay biết nào của người dùng. Ước tính có hơn 4,3 triệu thiết bị đã bị lây nhiễm theo cách này.
Nhóm ShadyPanda đã thực hiện cuộc tấn công đầu tiên được biết đến vào năm 2023, nhưng các báo cáo cho thấy nhóm này đã hoạt động ngầm từ ít nhất là năm 2018. Cuộc tấn công mạng lớn đầu tiên của chúng liên quan đến gian lận tiếp thị liên kết (affiliate fraud). Trong đó, các ứng dụng độc hại sẽ tự động chèn mã theo dõi tiếp thị vào các cú nhấp chuột mua sắm của người dùng, nhằm mục đích thu thập dữ liệu về thói quen mua hàng để trục lợi.
Sau đó, các hacker đã mở rộng hoạt động của mình sang một cơ sở người dùng rộng lớn hơn bằng cách triển khai các bản cập nhật độc hại cho các tiện ích mở rộng hiện có. Chiến thuật này giúp chúng trốn tránh sự phát hiện của các hệ thống an ninh. Theo các nhà nghiên cứu, ShadyPanda có thể dễ dàng tung ra phần mềm độc hại vì quy trình kiểm duyệt của Google đối với các bản cập nhật của tiện ích hiện có không nghiêm ngặt và chặt chẽ như quy trình kiểm duyệt dành cho các tiện ích mới hoàn toàn.
Hướng dẫn kiểm tra và gỡ bỏ ngay lập tức trên Chrome và Edge
Trước tình hình nghiêm trọng này, công ty an ninh mạng Koi đã công bố một danh sách đầy đủ các mã định danh (ID) của các tiện ích Chrome và Edge có liên quan đến chiến dịch tấn công. Lời khuyên cấp bách dành cho người dùng lúc này là nếu bạn đang sử dụng bất kỳ tiện ích nào trong số đó, hãy gỡ cài đặt chúng ngay lập tức để bảo vệ an toàn cho thiết bị và dữ liệu cá nhân.
Để thực hiện việc gỡ bỏ một cách triệt để và chính xác, người dùng cần làm theo các bước sau:
Đầu tiên, hãy mở trình duyệt bị ảnh hưởng. Nếu bạn dùng Chrome, hãy nhập `chrome://extensions/` vào thanh địa chỉ. Nếu bạn dùng Microsoft Edge, hãy nhập `edge://extensions/`. Sau khi truy cập vào trang quản lý tiện ích, hãy tìm và bật “Chế độ dành cho nhà phát triển” (Developer Mode) thường nằm ở góc màn hình. Việc này sẽ cho phép bạn nhìn thấy mã ID của từng tiện ích.
Tiếp theo, hãy so sánh mã ID của các tiện ích bạn đã cài đặt với danh sách ID mà các nhà nghiên cứu đã công bố. Nếu bạn phát hiện bất kỳ tiện ích độc hại nào trùng khớp mã ID, hãy nhấp vào nút “Xóa” (Remove) trên thẻ của tiện ích đó và xác nhận lựa chọn nếu được hỏi. Đây là hành động cần thiết và không thể trì hoãn để ngăn chặn việc dữ liệu của bạn tiếp tục bị đánh cắp và gửi ra nước ngoài.