Tiện ích mở rộng trình duyệt độc hại ShadyPanda
Một ví dụ điển hình về khai thác mạng lâu dài, một nhóm tin tặc có tên ShadyPanda đã thực hiện một chiến dịch kéo dài bảy năm nhắm vào các tiện ích mở rộng trình duyệt, thu thập được hơn 4,3 triệu lượt cài đặt. Chiến dịch này cho thấy ngay cả phần mềm hợp pháp cũng có thể bị lợi dụng nếu thiếu sự giám sát chặt chẽ.
Mục lục
Từ các công cụ hợp pháp đến các bản cập nhật độc hại
Năm trong số các tiện ích mở rộng bị xâm phạm ban đầu là các ứng dụng hợp pháp nhưng đã bị sửa đổi với chức năng độc hại vào giữa năm 2024. Các bản cập nhật này đã thu hút khoảng 300.000 lượt cài đặt trước khi chúng cuối cùng bị gỡ bỏ. Các bản cập nhật độc hại cho phép thực thi mã từ xa hàng giờ, cho phép kẻ tấn công tải xuống và chạy JavaScript tùy ý với toàn quyền truy cập trình duyệt. Sau khi hoạt động, các tiện ích mở rộng này:
- Theo dõi mọi trang web đã truy cập.
- Trích xuất lịch sử duyệt web được mã hóa.
- Thu thập dấu vân tay đầy đủ của trình duyệt.
Một ví dụ đáng chú ý là Clean Master, trước đây đã được Google xác minh. Trạng thái chính thức của Clean Master đã giúp ShadyPanda mở rộng cơ sở người dùng, cho phép các bản cập nhật độc hại mà không gây nghi ngờ.
Giám sát hàng loạt thông qua các tiện ích bổ sung phổ biến
Một bộ năm tiện ích mở rộng khác, bao gồm WeTab, đã theo dõi người dùng trên quy mô lớn. Các tiện ích bổ sung này theo dõi URL, truy vấn tìm kiếm trên công cụ tìm kiếm, nhấp chuột và các tương tác khác trên trình duyệt, sau đó truyền dữ liệu đến các máy chủ đặt tại Trung Quốc. Tổng cộng, các tiện ích mở rộng này đã được cài đặt khoảng bốn triệu lần, riêng WeTab chiếm ba triệu lượt cài đặt.
Những dấu hiệu ban đầu về hành vi độc hại xuất hiện vào năm 2023, liên quan đến các nhà phát triển nuggetsno15' và 'rocket Zhang', những người đã phát hành 20 tiện ích mở rộng Chrome và 125 tiện ích mở rộng Edge được ngụy trang dưới dạng hình nền hoặc công cụ năng suất.
Khai thác gian lận liên kết và chiếm quyền điều khiển trình duyệt
Các tiện ích mở rộng của ShadyPanda ban đầu tham gia vào hoạt động gian lận liên kết, chèn mã theo dõi vào các trang web như eBay, Amazon và Booking.com để tạo ra hoa hồng bất hợp pháp. Đến đầu năm 2024, các chiến thuật này đã leo thang đến mức kiểm soát trình duyệt chủ động, bao gồm:
- Thu thập truy vấn tìm kiếm.
- Chuyển hướng tìm kiếm qua trovi.com, một trang web lừa đảo đã biết.
- Đánh cắp cookie từ các miền mục tiêu.
Đến giữa năm 2024, ba tiện ích mở rộng đã được sử dụng hợp pháp từ lâu đã được sửa đổi để lấy các tải trọng JavaScript hàng giờ từ 'api.extensionplay(dot)com', thực thi chúng để theo dõi mọi lượt truy cập trang web và truyền dữ liệu được mã hóa đến 'api.cleanmasters(dot)store'. Các tải trọng này đã được làm tối nghĩa và chuyển sang chế độ vô hại nếu các công cụ dành cho nhà phát triển bị phát hiện, giúp phần mềm độc hại tránh bị phát hiện.
Khả năng tấn công nâng cao
Ngoài việc theo dõi, các tiện ích mở rộng này có thể dàn dựng các cuộc tấn công đối thủ ở giữa (AitM), tạo điều kiện cho:
- Trộm cắp thông tin xác thực.
- Chiếm quyền phiên làm việc.
- Chèn mã tùy ý vào bất kỳ trang web nào.
Việc giám sát được tăng cường với các tiện ích bổ sung của Microsoft Edge như WeTab, vốn đã ghi lại các tương tác rộng rãi của người dùng, bao gồm hành vi cuộn trang, thời gian xem trang và tất cả dấu vân tay của trình duyệt. Các tiện ích mở rộng này hiện không còn có sẵn để tải xuống từ các chợ ứng dụng tương ứng.
Hành động được đề xuất cho người dùng
Chiến dịch này trải qua bốn giai đoạn riêng biệt, từ các công cụ hợp pháp đến phần mềm gián điệp tinh vi. Mặc dù chưa rõ liệu số lượt tải xuống có bị thổi phồng một cách giả tạo để trông có vẻ hợp pháp hay không, nhưng rủi ro đối với người dùng vẫn rất nghiêm trọng. Người dùng đã cài đặt bất kỳ tiện ích mở rộng nào trong số này nên gỡ bỏ ngay lập tức và thay đổi mật khẩu cho tất cả các tài khoản trực tuyến.
Ví dụ về các phần mở rộng bị ảnh hưởng:
- Clean Master: Trình dọn dẹp bộ nhớ đệm Chrome tốt nhất
- Speedtest Pro - Kiểm tra tốc độ Internet trực tuyến miễn phí
- BlockSite
- Công cụ chuyển đổi công cụ tìm kiếm thanh địa chỉ
- Tab mới của SafeSwift
- Tab mới Infinity V+
- OneTab Plus: Quản lý Tab & Năng suất
- WeTab 新标签页
- Infinity New Tab dành cho thiết bị di động
- Infinity New Tab (Pro)
- Tab mới vô cực
- Tab mới Dream Afar
- Trình quản lý tải xuống Pro
- Hình nền chủ đề Galaxy HD 4k Trang chủ
- Hình nền Halo 4K HD Trang chủ
- Bài học từ ShadyPanda
Thành công của ShadyPanda nhấn mạnh rằng chỉ riêng sự tinh vi về mặt kỹ thuật là không cần thiết, chiến dịch này đã phát triển mạnh mẽ nhờ khai thác lỗ hổng hệ thống trên các thị trường tiện ích mở rộng của trình duyệt. Các tiện ích mở rộng được xem xét khi gửi, nhưng hành vi sau khi phê duyệt phần lớn không được giám sát. Khoảng cách giám sát lâu dài này đã cho phép các công cụ đáng tin cậy âm thầm phát triển thành nền tảng giám sát, làm nổi bật nhu cầu cảnh giác liên tục, ngay cả với phần mềm đã được xác minh.
