Một chiến dịch tấn công quy mô lớn nhằm vào người dùng các dịch vụ trực tuyến phổ biến vừa được phát hiện, với tổng cộng 108 tiện ích mở rộng độc hại trên trình duyệt Google Chrome. Các tiện ích này nhắm đến người dùng Gmail, YouTube, Telegram và TikTok, đồng thời đều kết nối về cùng một hệ thống điều khiển do các tác nhân đe dọa vận hành. Tính đến thời điểm báo cáo an ninh được công bố ngày 13/4, đã ghi nhận khoảng 20.000 lượt cài đặt.
Theo Kush Pandya, thành viên Nhóm Nghiên cứu Mối đe dọa của Socket Security, điều đáng lo ngại là toàn bộ các tiện ích mở rộng này vẫn đang hoạt động tại thời điểm công bố. “Chúng tôi đã gửi yêu cầu gỡ bỏ đến nhóm bảo mật của Chrome Web Store và Google Safe Browsing”, ông cho biết, đồng thời nói thêm rằng phía Google đã được liên hệ để đưa ra phản hồi chính thức.
Các số liệu từ báo cáo cho thấy mức độ nguy hiểm của chiến dịch là rất đáng báo động. Cụ thể, 54 tiện ích được thiết kế nhằm đánh cắp thông tin tài khoản Google thông qua cơ chế OAuth2; 45 tiện ích chứa mã độc cửa hậu, cho phép mở các đường dẫn tùy ý khi trình duyệt khởi động. Ngoài ra, một số tiện ích còn có khả năng can thiệp sâu vào hoạt động trình duyệt như loại bỏ tiêu đề bảo mật của YouTube và TikTok để chèn quảng cáo, hoặc tự động chèn mã theo dõi vào mọi trang web người dùng truy cập.
Đáng chú ý, một tiện ích được phát hiện có thể đánh cắp phiên đăng nhập Telegram Web theo chu kỳ 15 giây, trong khi một tiện ích khác đã được chuẩn bị sẵn hạ tầng cho mục đích tương tự nhưng chưa kích hoạt. Một trường hợp khác còn chuyển tiếp toàn bộ yêu cầu dịch thuật của người dùng qua máy chủ do kẻ tấn công kiểm soát.
Ảnh minh hoạ
Giới chuyên gia cảnh báo, các tiện ích mở rộng trình duyệt đang trở thành một trong những mối đe dọa an ninh mạng nghiêm trọng nhưng dễ bị người dùng xem nhẹ. Trước đó, một vụ tấn công liên quan đến tiện ích Chrome của Trust Wallet đã khiến người dùng thiệt hại tới 7 triệu USD, cho thấy mức độ rủi ro không hề nhỏ.
Không chỉ riêng Chrome, các trình duyệt khác cũng đối mặt nguy cơ tương tự. Các nhà nghiên cứu từ Socket Security từng cảnh báo về nhiều tiện ích độc hại trên Mozilla Firefox, cho thấy đây là vấn đề mang tính hệ thống, không giới hạn ở một nền tảng.
Về phía Google, hãng cho biết đã triển khai các biện pháp như kiểm duyệt tiện ích trước khi phát hành trên Chrome Web Store và giám sát liên tục sau đó. Ngoài ra, mục quản lý tiện ích (chrome://extensions) cũng sẽ hiển thị cảnh báo nếu phát hiện tiện ích có nguy cơ gây rủi ro bảo mật.
Tuy vậy, theo đánh giá từ báo cáo của Socket, những lỗ hổng trong cơ chế kiểm soát vẫn tồn tại. Các chuyên gia khuyến nghị người dùng nên chủ động rà soát tiện ích đã cài đặt, đồng thời sử dụng công cụ Kiểm tra bảo mật của Google để đảm bảo mọi lớp bảo vệ cần thiết đã được kích hoạt.
