131 Tiện Ích Mở Rộng Chrome Bị Phát Hiện Chiếm Quyền Điều Khiển Trình Duyệt

Trong một phát hiện chấn động mới nhất, các nhà nghiên cứu an ninh mạng từ công ty Socket đã vạch trần chiến dịch spam quy mô lớn sử dụng 131 extension Chrome giả mạo, được thiết kế để “khủng bố” WhatsApp Web bằng cách tự động hóa gửi tin nhắn hàng loạt mà không cần sự đồng ý của người dùng. Những extension này đã lây lan trên Chrome Web Store trong ít nhất 9 tháng qua, ảnh hưởng đến khoảng 20.905 người dùng hoạt động.

Dù không phải là phần mềm độc hại cổ điển (malware), chúng được phân loại là “spamware” cao nguy cơ, vi phạm nghiêm trọng chính sách của Google Chrome Web Store về nội dung trùng lặp và gửi tin nhắn không được phép. Chiến dịch này không chỉ làm ngập WhatsApp bằng spam mà còn có nguy cơ dẫn đến tài khoản bị khóa, đánh cắp dữ liệu liên hệ và lan truyền lừa đảo.

Tổng quan

Các extension này là các bản clone được rebrand từ một công cụ tự động hóa WhatsApp Web duy nhất, chia sẻ codebase, thiết kế và hạ tầng giống hệt nhau. Chúng được phát hành chủ yếu bởi hai tài khoản developer: “WL Extensão” (83 extension) và biến thể “WLExtensao”, liên kết với công ty DBX Tecnologia tại Brazil – một chương trình white-label cho phép affiliate rebrand và bán lại.

Chúng ngụy trang dưới dạng công cụ CRM cho WhatsApp, hứa hẹn:

• Tự động hóa tin nhắn hàng loạt (bulk messaging)
• Lên lịch gửi tin
• Quản lý lead, phễu bán hàng trực quan
• Tổ chức dịch vụ khách hàng

Danh sách đầy đủ 131 extension từ báo cáo của Socket (socket.dev/blog).

1. gioekliddhmaanejaaigfokghoakbaco (WaveZap CRM) — 112 users
2. ephcniiibhpjpfpopmajlmbbijfjpdde (WaCelery) — users not shown
3. fbkpechbcdilkoadejmhhamidddhdehc (Top System) — 18 users
4. ehdekncpobdjejklgpgnjgddjdnblmei (Botflow) — 35 users
5. mnbdaobmkdglnmiagimcniebbgebabek (Organize-C) — 5,000 users
6. jelgokpkjcplgcckfiaddlfaaepohfdi (FQ Sales CRM) — 30 users
7. pmnkmmlmbnalnbgidejbcaigahodcppn (Nexus CRM) — 23 users
8. ipaoladdllekkdokdnemkpjfllbgplek (FLEXZAP) — 71 users
9. gmdnikelbimgeamkdhpdblmeekpojeei (BoostChat) — 6 users
10. lbnhlbjmibbmogaefkppniejgaadimdb (WaZap) — 104 users
11. gmmcjjpciafncfbggmjhglocogcaomjb (Convverso CRM) — 44 users
12. hjlpccojkgfkamonoaoakgjjlejonefo (JuriMind CRM) — 24 users
13. chkaiafjmlfakkibkhbfgfklfaachmnc (ZapKan) — 31 users
14. oohihogmmfbinbkgaiglgeabloiehlkk (Zap Vende) — 30 users
15. jgfaobieaananaaahonfomlibhchkndb (AngoSeller) — 13 users
16. jhfdppbgfmmaecdgmboadmkaoifjnfmm (Vou Falar) — 4 users
17. phamkmfigepogfnbkelfmknehfcjjklm (Chatty Seller) — 23 users
18. jheebhheaomejiiilhgkambdgagmhfhe (GFlow Chat) — 33 users
19. foedfcdeffihcmjibkbaffddbjdmkphi (CNW ZAP) — 25 users
20. jhiknfikchccfkhjbfgiolgjofbnmgkd (66seller) — users not shown
21. cbhhipokgmechdbhebbalpckddlnfggm (Doris CRM) — 19 users
22. cjdcglineikacjboikmchenneanfegoo (ZappSeller) — 296 users
23. jmnajdcdmikociadheoaelpejbmoklpm (CliQ+) — users not shown
24. jpfpmealiajnfjmiljnmpiifccfkaimj (À Venda – CRM) — 118 users
25. mcabhobmhiljmdbdigdkkhmhjieecmne (MkZap) — 19 users
26. pedngakkndckkgfpbdmfmokokdepekho (WhatSmart CRM) — 208 users
27. lefiaoknofkoecahieockfmhhklkigng (Sanzap) — 32 users
28. mcjdknfjmchailcpcolfjcogggkjfeij (WaGpro) — 112 users
29. mecaooaegbmnneijdhegohdpcepdbbmk (Lexchatbot) — users not shown
30. mppgfleddoodfifpkjjjdbngnkcfcnde (performancemais) — 241 users
31. igmalhleeaoclfmfdlepdmfnbipkfdfi (Merlix) — 3 users
32. eomlbgjohomgjjigponmbnedpgoegegl (ChatScript) — 6 users
33. mgpdpmifcljbddedpajabokdebnaemon (BC ZAP) — 44 users
34. ofmhnbjohiadaagpeibjlncncllelaoo (Speedsflow CRM) — 5 users
35. ofmoeicegmlaleajnpcbddiaomnfmfkp (DBX Whats) — 1,000 users
36. hnimkbcgbhlllkcnphhhnbilkjngpphh (HGTX Intelligence Starter) — users not shown
37. chdaaapnpinagdkdmkkoandalpdgikdh (Wabin) — 17 users
38. cijeamgoejpplpdnjhejeeahgkbdndni (Zaplyd – CRM) — 449 users
39. pilfkgcokfmoblofkghajplgdpmejjph (FleboLeads) — 24 users
40. pfhinnfbeephmihjjegokhbkaeckdldp (Monchat) — 5 users
41. hpopdnbfeddglbokfbainoglnhhoccpb (Zappower) — 29 users
42. gclllmamoegojkehkkohcfcjdmgikldc (Converzap) — 7 users
43. hnnbkomgboilfohfkpfgnlcpalcnangb (Bot Imobiliário) — 50 users
44. hocidiaogjnnibkadkedncomnglnehjg (Lucra Zap) — users not shown
45. niimbdmbkndibiabpoolngcjipgndijh (Donna CRM) — users not shown
46. okdhkkpmmhinmjipggbfpjbdlckkaemb (Zaplyn) — users not shown
47. mjailbbfmgaoojmjfcacffkdjoccggcf (FácilCRM) — 174 users
48. aippcgffdfgfkihejnjkmkbjoidpemcl (IV-CHAT) — users not shown
49. bajadmkhmpjaiibgakhdgpgllgnhdocc (Talk Zap CRM) — 33 users
50. bmcliihacfhpicjacebpnhliojphelck (Sellerwork) — 15 users
51. mjhdkfgdfcehianhcmjpgpicelgehbbe (Wazapy) — 4 users
52. mhcnngbhhpmlahekicpkpammjibamlip (SALES WHATS) — 213 users
53. jfcekpbabbijmfpcgnnoaekodnagbffd (Super Chat Boom) — users not shown
54. ahpcdagejgoffjpnbkhemojogbocbahe (ChatAds) — 122 users
55. mkbjflhgpickfellipdmpcnhkmmdcojl (YouSeller) — 10,000 users
56. nmnflpdnbpnoojmpmhkkiagmegimlnmm (FLOW 5.0) — users not shown
57. nnmbiaaomdknpkgpklfcekneilkimoal (TELEFON CONECTA) — 13 users
58. bjbdjeijmkjcphbmbiifoeaikbmmgcjp (WA FLASH) — 104 users
59. kekglidebofmckpkojgbogajflnmhega (MovvaSe) — users not shown
60. kfopgoafhfkcpnkiemaldlplpbnengjf (Power Chat) — 25 users
61. nmimioepofbhnidpmebigbahpckjfmbm (Chatfunel) — 54 users
62. clpedhieolcgejlfdnlfadojpaiahlfm (VicChat) — users not shown
63. pmdahofhcbcejdodnmijkhahahegenhi (INWISE CRM) — 13 users
64. hhlbnnfmjdoeegpoihgandmppnmfpeib (ZapForce) — 8 users
65. jleilnojaafdekbbpighcjlcbmfnifim (ZapWild – CRM) — users not shown
66. maopdiomoidladgapokmfggnccpolbol (WhatsTool) — 27 users
67. cgcckeanlanlpaflhipplbhichjejgpk (Lever CRM) — 81 users
68. kleicpolamoebhoajpbhcbmcihbcfobm (Opendoor Solucoes) — users not shown
69. kmhlbkgpafhoojblcfhnljaaighbejfk (Yconecta Latam) — 9 users
70. ifhkkkfghpgbelajdcmkbahibfieffkl (Pipe Loom) — users not shown
71. blpopmcoebhlkolmkjjmplbmlgdhggkk (Connect Castle Solution) — users not shown
72. begphlgbbimlphmfbigfjcadjgplglcg (ATENDO DO ZAP) — 34 users
73. bmeleciepnphilegegcbfjkoolldigid (SYS.AO) — 23 users
74. ebmbbmldkfhfambpnegomegconmhcioe (Evoluwa) — users not shown
75. ddmhkpkipjnhlppmcepckfgjbmljmphm (Maiq) — 7 users
76. jjopcmgbpnfdehgmbioibahegdmmfipm (Zap4u) — users not shown
77. hdonddbodcfamjgmdolkgfgidjfmijmj (Evan’s Atende) — 33 users
78. anoghcdepimhncglcecmgnbchpjfkonp (MestreZap) — users not shown
79. oiekdjliebhjpjknfojajhjebgeedhag (Salesly) — 7 users
80. ohekppieeepibkebnlilabljmnkffmof (ZapLead) — 25 users
81. ohojiglgbgnhaddfhdbkoclekhghncih (Chat Power) — users not shown
82. ekigeoglcndojhecmojcchlhjkbghnmg (FarChat) — 28 users
83. mlladklbipjfnjgjjbkofonboojklnpo (idk Converte) — 6 users
84. edgokehfaihammibdolojeljlccobihi (VEXA INOVAÇÃO) — 2 users
85. eecbjpnghjlfeanpabnebopncfldgkej (Polo Lucrativo) — 6 users
86. namibohbbclnmgbnhegongpbkphhelji (Sell Swift) — 5 users
87. ndilbmjmeggijafdloohkniglleeekff (Red Chat) — 12 users
88. bpinnifebepjjedmficfllcnalhcfgin (Hizi Chat) — users not shown
89. fkcbkncgbolfiijohpipeobfbopidhlg (HBS CONNECT) — users not shown
90. bcabbcjlfhhffnjjfebenghlgfpfobdg (EAI MAIS) — users not shown
91. nfoenldfhfooabacoilpappaoggfmdio (ifteczap CRM) — users not shown
92. bmfeoaglddjefdcdmnaohgjlanmmddog (ByteZap) — 21 users
93. mpcajkogkmebocmcflglhmdekfglallb (Cresça & Apareça CRM) — 4 users
94. ghlcmioojimlkcljjjepehacmgodjfdk (WHATSATLANTIC) — 87 users
95. poemcanhdcddpkjmdgegfiopikiheppd (Alô IA) — 6 users
96. pmpcobjbffgoalkbilglngiomdbpmffd (ZapyPrime) — 16 users
97. lpbhcehpljligfjkcjpfklackjfoomao (WhizzChat) — 28 users
98. lmoncmhkblbcbekgefgpkohplhjkfgbm (RoboZapp) — 68 users
99. cbgbkbafakhpmmdmbaafniijhifoikei (ARX Tecnologia) — 2 users
100. odlgfgmgiinbkobmfhgmphbpfpmofppf (Tryno CRM) — 23 users
101. aekhfllepcmekghgdhgbceojklhhioba (Zaptree) — 8 users
102. ilahhiccjmanljjhebdpoilbfhjgpckp (360° Management CRM) — 22 users
103. agmdligmnfaciogcnokodiaoppflebla (Biz Sale Chat & CRM) — users not shown
104. ahejniinncebcikkjhggpghpjlkgjoab (Wavenda) — 44 users
105. kajbnhbibimhcmkpeokmgdpnhddjncka (GMD-ON) — 20 users
106. kahaenfigldjkcjpnblmhbbkkgfjkhhl (ZapCORR Suite) — 12 users
107. gfkedhmelaeoklidjhdbgpbnjdcacced (Zap Gestor CRM) — 12 users
108. gfplcnpcmgddenkggdapkcokgnkgncfe (Myboot) — users not shown
109. mdchifijocjccoidjcaamcebbehehlgo (Sales Whats Brasil) — 7 users
110. ebjpepgmlmbfgjdefdhobjfnhpgepibd (IMPAR CRM) — 4 users
111. fkkjcbogndlaeofafjjdlckkodpnlafb (Oh Mago CRM para Whatsapp) — users not shown
112. cdjijomcoohechfbkipcibpcakldfceo (DataZap: Automação, CRM) — 30 users
113. egebdiofdkgfhheopdaecggogdeaaepj (TekZap Conversas) — 46 users
114. nhmcfloglkbnliknncnfnlhideepfpfi (Lobo Vendedor) — users not shown
115. fdofhoefhcjllmgcgpdplndaeebfnica (Gana Digital) — users not shown
116. iflolbkfpmpjobjhkamajiekpmepcban (WHATZIP) — 19 users
117. dcgdocmggapfdocodbimagkloacnkbjf (STUDIO ZAP) — 37 users
118. llijmcnalgidmchdckmpimhhffehfbbg (Novo Envio Extensão: CRM) — 110 users
119. eaeiigegpmgegjhcbohmhddjgaldbknn (FortChat) — users not shown
120. fibommgfjfckaingpopkdohoegidkmng (Cash Zapp) — 17 users
121. fgfbklebnaaimlcgmfohnlnkihahlagk (ChatBlink) — 786 users
122. cjiedabijhhefgeonkdodnpaiimfdlpd (Projeta Zap) — 49 users
123. lhngnpihljickmbkflaiobcblmhchpab (Conectadus CRM) — 13 users
124. jpioocoiojejijkbnpljcoonohmechha (Zap4Biz) — users not shown
125. haieolmfmmepgdimacfanclfemodnmep (BYS Convert) — users not shown
126. fjfpgmaghnjnjndiapfmehebankomkmc (Fluxo de Vendas) — 10 users
127. clkibjppajhlbhofckbilehgfjjmljnj (Evento Prime) — users not shown
128. jbkmdabbenlckohhpccihkingphnoaom (WizeChat) — users not shown
129. lepbljmnjohannb (MyZapCRM) — 1 user
130. aogcmjgadbnlpjjcppfcjndmnffbeiid (Vozco Scale) — 10 users
131. dknafkoneldddpgcomhckilhhfodcnkk (Atendi Light) — users not shown

Cách Thức Hoạt Động Của “Spamware”

Sau khi cài đặt, extension tiêm JavaScript độc hại trực tiếp vào web.whatsapp.com:

1. Gắn vào DOM của trang: Chạy song song với script WhatsApp, gọi API nội bộ để gửi tin nhắn tự động.
2. Tải cấu hình từ xa: Service worker fetch file config từ server attacker, cập nhật pattern tin nhắn, throttling để né anti-spam.
3. Tự động hóa không xác nhận: Gửi hàng loạt tin spam, scrape contact, lập lịch – bypass giới hạn rate limit của WhatsApp.rewterz.com

Kirill Boychenko, nhà nghiên cứu Socket, cảnh báo: “Chúng không phải malware cổ điển, nhưng hoạt động như spam automation cao rủi ro, vi phạm quy tắc nền tảng. Mục tiêu là giữ chiến dịch spam chạy liên tục mà không bị phát hiện.”

Hoạt động kéo dài từ đầu 2025 đến 17/10/2025, với cập nhật mới liên tục.

Tác Động Nghiêm Trọng

• Người dùng cá nhân/doanh nghiệp: Tài khoản WhatsApp bị spam, khóa vĩnh viễn; dữ liệu liên hệ bị lạm dụng.
• Nền tảng: WhatsApp bị quá tải spam, chủ yếu Brazil – nơi WhatsApp là “vua nhắn tin”.
• Liên kết lớn hơn: Kết hợp với worm SORVEPOTEL (Trend Micro, Sophos, Kaspersky), phân phối banking trojan Maverick.

Forbes nhấn mạnh: “Xóa ngay mọi extension trong danh sách nếu bạn dùng WhatsApp!”

Phản Ứng Từ Google Và Các Bên: Chưa có tuyên bố chính thức, nhưng các extension vi phạm Chính sách Spam & Abuse (developer.chrome.com/docs/webstore/program-..). Một số nguồn cho biết Google đã xóa một phần sau báo cáo

Khuyến nghị

Phía FPT Threat Intelligence đề xuất một số biện pháp kiểm tra và bảo vệ khi gặp tấn công trên

1. Kiểm tra và xóa extension: | 1 | Mở Chrome > chrome://extensions | 2 | Tìm tên như YouSeller, ZapVende… | 3 | Toggle OFF > Remove forbes.com
2. Quét malware: Sử dụng phần mềm AV như: Malwarebytes, ESET hoặc Windows Defender (full scan).
3. Đổi mật khẩu WhatsApp: Kiểm tra tài khoản lạ.
4. Clear cache: chrome://settings/clearBrowserData.

Tham khảo

https://rewterz.com/threat-advisory/131-malicious-whatsapp-extensions-discovered-on-chrome-web-store-active-iocs

https://socket.dev/blog/131-spamware-extensions-targeting-whatsapp-flood-chrome-web-store

https://thehackernews.com/2025/10/131-chrome-extensions-caught-hijacking.html