Chrome Extension – Những mối đe dọa từ tiện ích Chrome mới nhất

Tổng quan

Vào ngày 25/12/2024 đã ghi nhận được một số hình thức tấn công thông qua tiện ích của Google – Chrome extension nhằm xâm nhập và lấy đi thông tin người dùng và gây ảnh hưởng đến hơn 600.000 người dùng. Các hacker đã chiếm quyền kiểm soát và chèn mã độc vào các tiện ích mở rộng này. Từ phân tích một số máy bị xâm nhập, động cơ chính của cuộc tấn công là nhắm vào các tài khoản Quảng cáo trên Facebook.

Phát Hiện Chính

• Bản chất của Malicious Chrome extension là các tiện ích mở rộng dành cho trình duyệt Google Chrome được thiết kế với mục đích xấu. Những tiện ích này có thể trông giống như các ứng dụng hữu ích hoặc vô hại, nhưng chúng thường chứa mã độc nhằm thu thập dữ liệu cá nhân, theo dõi hoạt động trực tuyến, hiển thị quảng cáo không mong muốn, hoặc thậm chí chiếm quyền điều khiển trình duyệt.
• Đáng chú ý là lỗ hổng này đang tồn tại và gây ảnh hưởng lên phiên bản: Chrome extension version 24.10.4. Bên cạnh đó các báo cáo gần nhất cũng ghi nhận 16 tiện ích khác của Google có thể bị ảnh hưởng trong chiến dịch tấn công lần này:
  • AI Assistant – ChatGPT and Gemini for Chrome
  • Bard AI Chat Extension
  • GPT 4 Summary with OpenAI
  • Search Copilot AI Assistant for Chrome
  • TinaMInd AI Assistant
  • Wayin AI
  • VPNCity
  • Internxt VPN
  • Vidnoz Flex Video Recorder
  • VidHelper Video Downloader
  • Bookmark Favicon Changer
  • Castorus
  • Uvoice
  • Reader Mode
  • Parrot Talks
  • Primus
  • Tackker – online keylogger tool
  • AI Shop Buddy
  • Sort by Oldest
  • Rewards Search Automator
  • ChatGPT Assistant – Smart Search
  • Keyboard History Recorder
  • Email Hunter
  • Visual Effects for Google Meet
  • Earny – Up to 20% Cash Back
  • Where is Cookie?
  • Web Mirror
  • ChatGPT App
  • Hi AI
  • Web3Password Manager
  • YesCaptcha assistant
  • Bookmark Favicon Changer
  • Proxy SwitchyOmega (V3)
  • GraphQL Network Inspector
  • ChatGPT for Google Meet
  • GPT 4 Summary with OpenAI

Luồng tấn công

1. Tin tặc ban đầu sẽ gửi một Email Phishing đến nạn nhân với những hỗ trợ về Chrome Extension. Sau khi thực hiện click vào Email nạn nhân sẽ bị thêm ứng dụng OAUTH độc hại của Google có tên là: “Privacy Policy Extension” và vô tình cấp phép cho ứng dụng độc hại của bên thứ ba. Từ đó thì kẻ tấn công đã giành được các quyền cần thiết thông qua “Privacy Policy Extension” và upload các extension độc hại bao gồm 2 tệp:
   • worker.js
   • content.js

2. File ban đầu được ghi nhận: worker.js sẽ nhằm mục đích liên kết với máy chủ C&C và tải xuống cấu hình từ C&C. Nó sẽ lưu cấu hình vào bộ nhớ cục bộ của Chrome. Bước tiếp theo, nó đã đăng ký các trình nghe sẽ nghe các sự kiện từ content.js và thực hiện các lệnh gọi HTTP.
3. Sau khi đã chạy thành công file worker.js thì tệp content.js sẽ được gọi – Đây là một tệp mới được thêm vào tiện ích mở rộng độc hại của Chrome. Mục tiêu chính của tệp này là thu thập dữ liệu người dùng cho một trang web cụ thể. Trang web này là một phần trong C&C được worker.js nhận và lưu trữ. Sau khi thu thập dữ liệu, nó sẽ chuyển dữ liệu sang một trang web độc hại, trang này cũng có trong cấu hình nhận được từ máy chủ C&C.

4. Các trang web mục tiêu nhận được từ máy chủ C&C là các miền liên quan đến “*.facebook.com” với các mục đích cụ thể như:
   • Lấy ID người dùng Facebook
   • Lấy thông tin tài khoản của người dùng (nếu có) qua Facebook API
   • Nhận tài khoản doanh nghiệp của người dùng (thông qua Facebook API)
   • Truy xuất thông tin tài khoản quảng cáo của người dùng (thông qua Facebook API)

Danh sách IOCs được ghi nhận

1. Mã Hash
   • DDF8C9C72B1B1061221A597168f9BB2C2BA09D38D7B3405E1DACE37AF158794
2. File độc hại
   • worker.js (0B871BDEE9D8302A48D6D6511228CAF67A08EC60)
   • content.js (AC5CC8BCC05AC27A8F189134C2E3300863B317FB)
3. C&C Servers và IP độc hại
   • cyberhavenext[.]pro
   • api.cyberhaven[.]pro
   • 149.28.124[.]84
   • 149.248.2[.]16

Khuyến nghị

1. Để đảm bảo không bị tấn công bởi chiến dịch trên thì các tổ chức cần thực hiện xác minh extension của Google Chrome và cập nhật lên phiên bản 24.10.5 hoặc mới hơn
2. Thực hiện rà soát và gỡ bỏ các Extension không cần thiết khỏi trình duyệt đồng thời thay đổi các mật khẩu trên trình duyệt Google Chrome

Kết luận

Việc chiếm quyền điều khiển và lấy đi được các thông tin nhạy cảm từ những tài khoản người dùng Facebook cá nhân hoặc doanh nghiệp là một rủi ro bảo mật đáng kể. Bằng cách rà soát và nâng cấp lên các phiên bản theo khuyến nghị, các tổ chức và cá nhân có thể bảo vệ thông tin nhạy cảm khỏi bị chặn bởi các tác nhân độc hại. Việc cập nhật thường xuyên và đánh giá bảo mật là rất quan trọng trong việc duy trì một môi trường truyền thông an toàn.

Tham khảo

1. https://www.cyberhaven.com/engineering-blog/cyberhavens-preliminary-analysis-of-the-recent-malicious-chrome-extension
2. https://thehackernews.com/2024/12/16-chrome-extensions-hacked-exposing.html?m=1