Hàng chục tiện ích mở rộng của Chrome bị hack, khiến hàng triệu người dùng bị đánh cắp dữ liệu

Một chiến dịch tấn công mới đã nhắm vào các tiện ích mở rộng trình duyệt Chrome đã biết, khiến ít nhất 35 tiện ích mở rộng bị xâm phạm và khiến hơn 2,6 triệu người dùng bị lộ dữ liệu và đánh cắp thông tin đăng nhập.

Cuộc tấn công nhắm vào các nhà xuất bản tiện ích mở rộng trình duyệt trên Chrome Web Store thông qua một chiến dịch lừa đảo và sử dụng quyền truy cập của họ để chèn mã độc vào các tiện ích mở rộng hợp pháp nhằm đánh cắp cookie và mã thông báo truy cập của người dùng.

Email lừa đảo, được cho là đến từ Google Chrome Web Store Developer Support, đã cố gắng tạo ra cảm giác cấp bách giả bằng cách tuyên bố rằng tiện ích mở rộng của họ sắp bị xóa khỏi kho tiện ích mở rộng vì vi phạm Chính sách chương trình dành cho nhà phát triển.

Nó cũng thúc giục người nhận nhấp vào liên kết để chấp nhận các chính sách, sau đó họ được chuyển hướng đến trang cấp quyền cho ứng dụng OAuth độc hại có tên là "Privacy Policy Extension".

"Kẻ tấn công đã có được các quyền cần thiết thông qua ứng dụng độc hại ('Privacy Policy Extension') và tải tiện ích mở rộng Chrome độc ​​hại lên Chrome Web Store", Cyberhaven cho biết trong một bài viết kỹ thuật riêng. "Sau quy trình đánh giá Bảo mật Chrome Web Store thông thường, tiện ích mở rộng độc hại đã được chấp thuận để xuất bản".

"Tiện ích mở rộng trình duyệt là phần mềm bảo mật web", Or Eshed, Giám đốc điều hành của LayerX Security, chuyên về bảo mật tiện ích mở rộng trình duyệt, cho biết. "Mặc dù chúng ta có xu hướng nghĩ rằng tiện ích mở rộng của trình duyệt là vô hại, nhưng trên thực tế, chúng thường được cấp quyền rộng rãi đối với thông tin nhạy cảm của người dùng như cookie, mã thông báo truy cập, thông tin nhận dạng, v.v.

"Nhiều tổ chức thậm chí không biết họ đã cài đặt tiện ích mở rộng nào trên các điểm cuối của mình và không biết mức độ tiếp xúc của chúng".

Jamie Blasco, Giám đốc công nghệ của công ty bảo mật SaaS Nudge Security, đã xác định thêm các miền phân giải đến cùng một địa chỉ IP của máy chủ C&C được sử dụng cho vụ vi phạm Cyberhaven.

Cuộc điều tra sâu hơn đã phát hiện ra nhiều tiện ích mở rộng hơn [Google Trang tính] bị nghi ngờ đã bị xâm phạm, theo các nền tảng bảo mật tiện ích mở rộng của trình duyệt Secure Annex và Extension total:

• AI Assistant - ChatGPT and Gemini for Chrome
• Bard AI Chat Extension
• GPT 4 Summary with OpenAI
• Search Copilot AI Assistant for Chrome
• TinaMInd AI Assistant
• Wayin AI
• VPNCity
• Internxt VPN
• Vidnoz Flex Video Recorder
• VidHelper Video Downloader
• Bookmark Favicon Changer
• Castorus
• Uvoice
• Reader Mode
• Parrot Talks
• Primus
• Tackker - online keylogger tool
• AI Shop Buddy
• Sort by Oldest
• Rewards Search Automator
• ChatGPT Assistant - Smart Search
• Keyboard History Recorder
• Email Hunter
• Visual Effects for Google Meet
• Earny - Up to 20% Cash Back
• Where is Cookie?
• Web Mirror
• ChatGPT App
• Hi AI
• Web3Password Manager
• YesCaptcha assistant
• Bookmark Favicon Changer
• Proxy SwitchyOmega (V3)
• GraphQL Network Inspector
• ChatGPT for Google Meet
• GPT 4 Summary with OpenAI

Những tiện ích mở rộng bị xâm phạm bổ sung này cho thấy Cyberhaven không phải là mục tiêu một lần mà là một phần của chiến dịch tấn công trên diện rộng nhắm vào các tiện ích mở rộng trình duyệt hợp pháp.

Tại thời điểm này, vẫn chưa rõ ai là người đứng sau chiến dịch và liệu những thỏa hiệp này có liên quan hay không.

Hương – Theo TheHackerNews