Hàng loạt tiện ích mở rộng Chrome và Edge “biến chất”, lây nhiễm spyware cho hơn 4 triệu thiết bị

Các chuyên gia an ninh mạng vừa phát hiện một chiến dịch tấn công tinh vi thông qua các tiện ích mở rộng trên trình duyệt Chrome và Microsoft Edge. Đáng lo ngại, nhiều tiện ích từng được đánh giá uy tín đã bị chèn mã độc, biến hơn 4 triệu thiết bị trên toàn cầu thành nạn nhân của phần mềm gián điệp.

Phát hiện chiến dịch tấn công quy mô lớn qua tiện ích trình duyệt

Theo báo cáo từ công ty an ninh mạng Koi, một nhóm hacker có liên hệ với Trung Quốc mang tên ShadyPanda đang triển khai ít nhất hai chiến dịch phát tán mã độc thông qua các tiện ích trình duyệt. Những tiện ích này vốn hoạt động hợp pháp trong nhiều năm, nhưng đã bị cài cắm mã độc thông qua các bản cập nhật từ năm 2024.

Trong chiến dịch đầu tiên, ít nhất 5 tiện ích từng hoạt động ổn định suốt gần 5 năm bất ngờ “quay xe”. Đáng chú ý nhất là tiện ích dọn dẹp bộ nhớ đệm Clean Master, từng có hơn 200.000 người dùng và đạt trạng thái “Nổi bật” và “Đã xác minh” trên Chrome Web Store trước khi bị Google gỡ bỏ.

Clean Master bị gỡ bỏ vì bị dính mã độc

Hơn 4 triệu người dùng tiếp tục gặp nguy hiểm trên Edge

Chiến dịch thứ hai nguy hiểm hơn khi bao gồm thêm 5 tiện ích khác, trong đó có công cụ quản lý tab WeTab với hơn 3 triệu lượt cài đặt. Tổng cộng, số người dùng bị ảnh hưởng trên toàn cầu đã vượt mốc 4 triệu.

Đáng lo ngại, các tiện ích trong chiến dịch này hiện vẫn còn tồn tại trên kho Microsoft Edge Add-ons, khiến nhiều người dùng tiếp tục đối mặt với nguy cơ bị theo dõi dữ liệu.

Tiện ích bị biến thành spyware, thu thập dữ liệu ngầm

Các chuyên gia cho biết từ năm 2024, mã độc đã được âm thầm chèn vào các tiện ích này, biến chúng thành phần mềm gián điệp. Chúng thu thập dữ liệu duyệt web của người dùng và gửi về các máy chủ đặt tại Trung Quốc theo thời gian thực.

Không chỉ dừng ở đó, hệ thống mã độc còn hoạt động như một nền tảng điều khiển từ xa, có khả năng tự động tải và thực thi mã JavaScript ngay trong trình duyệt mà người dùng không hề hay biết. Ước tính có hơn 4,3 triệu thiết bị đã bị lây nhiễm.

Hãy cẩn thận với các tiện ích trên trình duyệt của bạn

Cách kiểm tra và gỡ bỏ tiện ích độc hại

Koi đã công bố danh sách ID của các tiện ích Chrome và Edge liên quan đến chiến dịch tấn công. Người dùng được khuyến cáo cần gỡ bỏ ngay nếu phát hiện đang cài đặt:

• Truy cập:
  • chrome://extensions/ với Google Chrome
  • edge://extensions/ với Microsoft Edge
• Bật Chế độ dành cho nhà phát triển (Developer Mode)
• Kiểm tra ID tiện ích theo danh sách được công bố
• Nhấn “Remove” để xóa bỏ hoàn toàn

ShadyPanda – Nhóm hacker đứng sau nhiều vụ tấn công

ShadyPanda được ghi nhận bắt đầu các hoạt động tấn công từ năm 2018, nhưng đến năm 2023 mới bị công khai rộng rãi. Ban đầu, nhóm này thực hiện gian lận tiếp thị liên kết bằng cách chèn mã theo dõi vào các cú nhấp mua sắm của người dùng.

Sau đó, nhóm tiếp tục mở rộng quy mô bằng cách lợi dụng các bản cập nhật tiện ích – vốn ít bị kiểm duyệt gắt gao như tiện ích mới – để phát tán mã độc mà không bị phát hiện trong thời gian dài.

Hacker "Gấu Trúc" tấn công người dùng mạng

Lỗ hổng trong cơ chế kiểm duyệt của Google và Microsoft

Theo nhận định từ chuyên gia, một trong những nguyên nhân khiến ShadyPanda dễ dàng triển khai mã độc là do Google không kiểm tra các bản cập nhật tiện ích nghiêm ngặt như khi duyệt tiện ích mới. Điều này tạo ra lỗ hổng lớn trong chuỗi bảo mật của hệ sinh thái trình duyệt.

Xem thêm: CEO Logitech cho biết các thiết bị AI chỉ là "giải pháp tìm kiếm vấn đề"

Xem thêm: Micron Không Bán RAM Cho Người Dùng Để Tập Trung Vào Sản Xuất Bộ Nhớ Dành Cho AI