Chi tiết mới tiết lộ cách tin tặc chiếm đoạt 35 tiện ích mở rộng của Google Chrome
Mặc dù các báo cáo ban đầu tập trung vào tiện ích mở rộng bảo mật của Cyberhaven, các cuộc điều tra sau đó cho thấy cùng một mã đã được nhúng vào ít nhất 35 tiện ích mở rộng với khoảng 2,6 triệu người sử dụng.
Theo báo cáo trên LinkedIn và Google Groups từ các nhà phát triển, chiến dịch mới nhất bắt đầu vào khoảng ngày 05/12/2024. Tuy nhiên, các tên miền subdomain của máy chủ điều khiển và ra lệnh (C2) trước đó được tờ báo BleepingComputer tìm thấy đã tồn tại từ tháng 3/2024.
“Chúng tôi chỉ muốn cảnh báo mọi người về một email lừa đảo tinh vi hơn bình thường mà chúng tôi nhận được, trong đó nêu rõ vi phạm chính sách tiện ích mở rộng của Chrome theo biểu mẫu: Unnecessary details in the description”, thông báo Google Group.
Liên kết trong email này trông giống như cửa hàng trực tuyến nhưng lại dẫn đến một trang web lừa đảo sẽ cố gắng kiểm soát tiện ích mở rộng Chrome của người dùng và có khả năng cập nhật phần mềm độc hại vào đó.
Chuỗi tấn công lừa đảo OAuth
Cuộc tấn công bắt đầu bằng một email lừa đảo được gửi trực tiếp đến các nhà phát triển tiện ích mở rộng của Chrome hoặc thông qua email hỗ trợ được liên kết với tên miền của họ.
Theo các nhà nghiên cứu, 3 tên miền sau đã được sử dụng trong chiến dịch này để gửi email lừa đảo: supportchromestore[.]com; forextensions[.]com; chromeforextension[.]com. Email lừa đảo này được tạo ra trông như của Google, tuyên bố rằng tiện ích mở rộng này vi phạm chính sách của Chrome Web Store và có nguy cơ bị xóa.
Email lừa đảo có đoạn thông báo: “Chúng tôi không cho phép các tiện ích mở rộng có metadata ở định dạng lỗi, không liên quan hoặc không phù hợp, bao gồm nhưng không giới hạn mô tả tiện ích mở rộng, tên nhà phát triển,biểu tượng, ảnh chụp màn hình và hình ảnh quảng cáo”.
Cụ thể, các nhà phát triển tin rằng mô tả phần mềm của họ chứa thông tin sai lệch và phải đồng ý với các chính sách của Chrome Web Store.
Hình 1. Email lừa đảo được sử dụng trong cuộc tấn công
Nếu nhà phát triển nhấp vào nút “Go To Policy”, họ sẽ được chuyển đến trang đăng nhập hợp pháp trên tên miền của Google dành cho ứng dụng OAuth độc hại.
Trang web này là một phần của quy trình cấp phép tiêu chuẩn của Google, được thiết kế để cấp quyền an toàn cho các ứng dụng của bên thứ ba truy cập vào các tài nguyên cụ thể của tài khoản Google.
Hình 2. Yêu cầu xác thực độc hại
Trên nền tảng đó, kẻ tấn công đã lưu trữ một ứng dụng OAuth độc hại có tên “Privacy Policy Extension” yêu cầu nạn nhân cấp quyền quản lý tiện ích mở rộng của Chrome Web Store thông qua tài khoản của họ.
Nếu cho phép quyền truy cập này, ứng dụng trên sẽ có thể xem, chỉnh sửa, cập nhật hoặc xuất bản các tiện ích mở rộng, chủ đề, ứng dụng và giấy phép trên cửa hàng Chrome trực tuyến mà nhà phát triển có quyền truy cập.
Hình 3. Lời nhắc phê duyệt quyền
Xác thực đa yếu tố không giúp bảo vệ tài khoản vì không yêu cầu phê duyệt trực tiếp trong luồng ủy quyền OAuth và quy trình này giả định rằng người dùng hiểu đầy đủ phạm vi quyền mà họ đang cấp.
Sau khi kẻ tấn công có được quyền truy cập vào tài khoản của nhà phát triển, chúng đã sửa đổi tiện ích mở rộng để chèn vào hai tệp độc hại, cụ thể là “worker[.]js” và “content[.]js”, chứa mã độc đánh cắp dữ liệu từ tài khoản Facebook. Tiện ích mở rộng bị chiếm đoạt sau đó được phát hành dưới dạng phiên bản mới trên Chrome Web Store.
Trong khi Extension Total đang theo dõi 35 tiện ích mở rộng bị ảnh hưởng bởi chiến dịch lừa đảo này, các IOC từ cuộc tấn công cho thấy rằng có một số lượng lớn hơn nhiều tiện ích mở rộng bị nhắm mục tiêu. Theo VirusTotal, kẻ tấn công đã đăng ký trước các tên miền cho các tiện ích mở rộng mục tiêu, ngay cả khi chúng không bị tấn công.
Hình 4. Các tên miền subdomain trước đó được sử dụng trong chiến dịch lừa đảo
Nhắm mục tiêu vào tài khoản doanh nghiệp trên Facebook
Phân tích các máy tính bị xâm nhập cho thấy kẻ tấn công nhắm vào tài khoản Facebook của người dùng tiện ích mở rộng bị nhiễm mã độc. Cụ thể, mã đánh cắp dữ liệu đã cố gắng lấy ID Facebook, mã thông báo truy cập, thông tin tài khoản, thông tin tài khoản quảng cáo và tài khoản doanh nghiệp của người dùng.
Hình 5. Dữ liệu Facebook bị đánh cắp bởi các tiện ích mở rộng bị tấn công
Ngoài ra, mã độc còn bổ sung thêm trình lắng nghe sự kiện dành riêng cho các tương tác của nạn nhân trên Facebook, tìm kiếm hình ảnh mã QR liên quan đến cơ chế xác thực hai yếu tố (2FA) hoặc CAPTCHA của nền tảng này. Mục đích của hành vi này là vượt qua biện pháp bảo vệ 2FA trên tài khoản Facebook và cho phép kẻ tấn công chiếm đoạt tài khoản.
Thông tin bị đánh cắp sẽ được đóng gói cùng với cookie Facebook, chuỗi user-agent, ID Facebook và gửi đến máy chủ C2 của kẻ tấn công.
Kẻ tấn công đã nhắm vào các tài khoản doanh nghiệp trên Facebook thông qua nhiều hình thức tấn công khác nhau để thanh toán trực tiếp từ thẻ tín dụng của nạn nhân vào tài khoản của họ, thực hiện các chiến dịch thông tin sai lệch hoặc lừa đảo trên nền tảng mạng xã hội hoặc kiếm tiền từ quyền truy cập của nạn nhân bằng cách bán cho người khác.
Hồng Đạt
(Tổng hợp)