1.7 triệu người dùng bị đánh cắp dữ liệu riêng tư bởi 500 tiện ích trên trình duyệt Chrome
Google vừa mới khai tử 500 tiện ích mở rộng độc hại trên trình duyệt Chrome khỏi cửa hàng Web Store sau khi họ tìm thấy một quảng cáo độc hại đang đánh cắp dữ liệu cá nhân của người dùng lướt web đến máy chủ quản lý của kẻ tấn công.
Theo The Hacker News thì những tiện ích mở rộng này là một phần của chiến dịch quảng cáo độc hại được vận hành ít nhất là từ tháng Giêng năm 2019, mặc dù những bằng chứng đã chỉ ra rằng có khả năng những nhân tố đằng sau chiến dịch này có thể hoạt động từ năm 2017.
Phát hiện này là kết quả của sự hợp tác điều tra của chuyên gia bảo mật Jamila Kaya và Duo Security – Cisco, đã dẫn ra 70 tiện ích Chrome với 1.7 triệu lượt cài đặt.
Sau khi chia sẻ phát hiện này với Google, công ty đã tiếp tục xác định được danh tính của hơn 430 tiện ích mở rộng có vấn đề, tất cả các tiện ích này đã bị vô hiệu hóa.
Chiến dịch quảng cáo độc hại như một vector tấn công, sẽ tiếp tục gia tăng miễn là những quảng cáo dựa trên theo dõi người dùng vẫn còn phổ biến, đặc biệt là khi người dùng đánh giá thấp các cơ chế bảo vệ khi lướt web – đây là đánh giá mà Jacob Rickerd của Kaya và Duo Security cho biết trong báo cáo.
Đây là một chiến dịch quảng cáo độc hại được che giấu kỹ lưỡng
Sử dụng công cụ đánh giá bảo mật mở rộng Chrome của Duo Security được gọi với tên CRXcavator – các chuyên gia bảo mật có thể xác định rằng các plugin trình duyệt hoạt động bằng cách kết nối lén lút với các máy khách trình duyệt với máy chủ chỉ huy và kiểm soát (command and control) do kẻ tấn công kiểm soát để đánh cắp dữ liệu duyệt web riêng tư mà người dùng không hề hay biết.
Các tiện ích mở rộng, hoạt động theo chiêu bài quảng cáo và dịch vụ quảng cáo, có mã nguồn gần giống nhau nhưng khác nhau về tên của các chức năng, do đó trốn tránh các cơ chế phát hiện của Cửa hàng Chrome trực tuyến.
Ngoài việc yêu cầu các quyền rộng rãi đã cấp cho các plugin quyền truy cập vào clipboard và tất cả các cookie được lưu trữ cục bộ trong trình duyệt, kẻ tấn công định kỳ kết nối với một tên miền có cùng tên với plugin (ví dụ: Mapstrekcom, ArcadeYumcom) để kiểm tra hướng dẫn về cách nhận tự gỡ cài đặt từ trình duyệt.
Khi liên hệ ban đầu với trang web, các plugin sau đó đã thiết lập liên hệ với tên miền C2 được mã hóa cứng - ví dụ: DTSINCEcom - để chờ thêm các lệnh, vị trí để tải lên dữ liệu người dùng và nhận danh sách cập nhật các quảng cáo độc hại và miền chuyển hướng, sau đó chuyển hướng các phiên duyệt web của người dùng đến một hỗn hợp các trang web hợp pháp và lừa đảo.
"Một phần lớn trong số này là các luồng quảng cáo lành tính, dẫn đến các quảng cáo như Macy, Dell hoặc Best Buy", báo cáo được tìm thấy. "Một số quảng cáo này có thể được coi là hợp pháp; tuy nhiên, 60 đến 70 phần trăm thời gian chuyển hướng xảy ra, các luồng quảng cáo tham chiếu một trang web độc hại."
Cẩn trọng với các tiện ích mở rộng đánh cắp dữ liệu
Đây không phải là lần đầu tiên mà các tiện ích mở rộng đánh cắp dữ liệu được tìm thấy trên trình duyệt Chrome. Vào tháng 7 năm ngoái, chuyên gia bảo mật Sam Jadali và The Washington Post đã phát hiện một vụ rò rỉ dữ liệu lớn mang tên DataSpii do các trình duyệt mở rộng trên Chrome và Firefox đã được cài đặt bởi hơn 4 triệu người dùng.
Những tiện ích mở rộng này thu thập dữ liệu duyệt web bao gồm danh tính của người dùng và chia sẻ với một bên thứ ba vô danh và chuyển sang công ty thống kê mang tê Nacho Analytics (nay đã đóng cửa) để bán những dữ liệu thu thập được cho các thành viên trong hội.
Để phòng tránh, Google bắt đầu yêu cầu các tiện ích mở rộng này chỉ yêu cầu quyền truy cập dữ liệu ít nhất có thể từ 15/10/2019, đình chỉ bất kỳ tiện ích nào không có quy định quyền riêng tư và thu thập dữ liệu thói quen lướt web của người dùng.
Người dùng cần kiểm tra kỹ các quyền mà mình đã cấp cho tiện ích mở rộng, cân nhắc xóa các tiện ích mà mình ít sử dụng hoặc chuyển qua các phần mềm đáng tin cậy khác để bảo vệ quyền riêng tư cho bản thân.
Minh Hương
TIN CÙNG CHUYÊN MỤC
1 tiện ích Chrome nhiễm mã độc có 280 tr...
Không đảm bảo về bảo mật và kiểm duyệt, ...
Ứng dụng AI - DeepSeek bị hack và rò rỉ ...
Router Wi-Fi hiệu TP-Link có thể bị Mỹ c...
Tính năng tìm kiếm mới trên Windows 11 g...
Lừa đảo quảng cáo độc hại sử dụng Quảng ...
-
Khai Xuân Phú Quý, Bóc Lì Xì Vui
-
Thông báo thời gian nghỉ lễ Tết Nguyên Đán Ất Tỵ 2...
-
Làn sóng tấn công an ninh mạng mới: AI biến các vụ...
-
Sự phát triển của AI trong các vụ lừa đảo phishing...
-
Không đảm bảo về bảo mật và kiểm duyệt, sao chatbo...
-
Hướng dẫn cách dùng DeepSeek dễ dàng với 3 bước
-
1 tiện ích Chrome nhiễm mã độc có 280 triệu lượt t...
-
Không đảm bảo về bảo mật và kiểm duyệt, sao chatbo...
-
Khai Xuân Phú Quý, Bóc Lì Xì Vui
-
Có nên cài đặt chế độ nền tối Dark Mode cho điện t...
-
Ứng dụng AI - DeepSeek bị hack và rò rỉ dữ liệu ng...
-
Router Wi-Fi hiệu TP-Link có thể bị Mỹ cấm cửa vì ...
TAGS
LIÊN HỆ
