Mới đây, Google đã cho loại bỏ thêm 106 tiện ích mở rộng khỏi Chrome Web Store sau khi chúng bị phát hiện thu thập trái phép dữ liệu nhạy cảm của người dùng nhằm phục vụ cho một “chiến dịch giám sát toàn cầu” nhắm đến các lĩnh vực dầu khí, tài chính và chăm sóc sức khỏe.
Theo báo cáo được công bố vào cuối tuần trước của hãng bảo mật Awake Security, các tiện ích độc hại này có liên quan tới GalComm – một nhà cung cấp tên miền của Israel đang quản lý khoảng 250.000 tên miền.
Tuy nhiên, cho đến thời điểm hiện tại thế lực đứng sau chiến dịch gián điệp này vẫn còn là một ẩn số.
“Chiến dịch này cùng các tiện ích mở rộng Chrome đã thực hiện một loạt hành vi trái phép như chụp ảnh màn hình trên thiết bị của nạn nhân, tự động tải phần mềm độc hại, đọc clipboard (bộ nhớ tạm thời), lén lút đánh cắp mã token và thông tin đăng nhập của người dùng”, Awake Security cho biết.
Các tiện ích mở rộng này ngụy trang thành các công cụ chuyển đổi định dạng tập tin, được đặt bên cạnh các công cụ duyệt web an toàn khác, và dựa vào hàng ngàn đánh giá giả để lừa người dùng thiếu cảnh giác cài đặt chúng.
Ngoài ra, kẻ tấn công đứng sau hoạt động này đã sử dụng các kỹ thuật đặc biệt để qua mắt các phần mềm diệt mã độc và tránh bị gắn cờ độc hại trên các tên miền. Do đó, chiến dịch giám sát diễn ra mà không bị phát hiện.
Trước khi Awake Security liên hệ với Google vào tháng Năm để thông báo về nguy cơ bảo mật từ các tiện ích mở rộng này, nó đã được tải xuống gần 33 triệu lần trong suốt ba tháng.
Gã khổng lồ công nghệ đã đáp lại những phát hiện này bằng cách nhanh chóng cho vô hiệu hóa các tiện ích mở rộng có vấn đề. Xem danh sách ID của các tiện ích vi phạm tại đây.
Dữ liệu ghi nhận từ xa cho thấy một số tiện ích này đã hoạt động tích cực trên các mạng liên quan đến “dịch vụ tài chính, dầu khí, truyền thông và giải trí, y tế và dược phẩm, bán lẻ, lĩnh vực công nghệ, giáo dục đại học và các tổ chức chính phủ”, mặc dù không có bằng chứng rõ ràng nào cho thấy chúng thực sự được sử dụng để thu thập các dữ liệu nhạy cảm.
“Galcomm không liên quan và cũng không hề đồng lõa với bất cứ hoạt động gián điệp hay phần mềm độc hại nào”, Moshe Fogel, chủ sở hữu của công ty tại Israel, phủ nhận cáo buộc với hãng thông tấn Reuters.
Các tiện ích mở rộng lừa đảo trên Chrome Web Store vẫn luôn là một vấn đề nhức nhối trong nhiều năm qua. Nó hết lần này đến lần khác bị những kẻ tấn công lợi dụng khai thác để thực hiện quảng cáo độc hại và các chiến dịch đánh cắp dữ liệu khác.
Đầu tháng 2 năm nay, Google đã xóa 500 tiện ích mở rộng chứa phần mềm độc hại sau khi chúng bị phát hiện đang lưu trữ các mã độc quảng cáo và gửi lịch sử duyệt web của người dùng đến các máy chủ do kẻ tấn công kiểm soát. Sau đó, vào tháng Tư, công ty cũng đã nhanh chóng loại bỏ một bộ 49 tiện ích mở rộng giả mạo là ví điện tử để đánh cắp thông tin của Keystore.
Công ty này đề xuất người dùng nên xem lại quyền truy cập của các tiện ích mở rộng bằng cách truy cập vào “chrome://extensions” trên trình duyệt Chrome, và xem xét gỡ cài đặt những tiện ích ít sử dụng, hoặc chuyển sang dùng phần mềm thay thế khác mà không yêu cầu quyền truy cập vào hoạt động trình duyệt web.
Theo The Hacker News
