Code Nguyen
Writer
Bạn có bao giờ tin rằng một biểu tượng nhỏ xíu trên trình duyệt thì vô hại tuyệt đối không?
Ít nhất 17 tiện ích mở rộng đã vượt qua kiểm duyệt bằng cách trông hoàn toàn vô hại. Chúng quảng cáo những thứ rất quen như VPN miễn phí, chụp màn hình, dự báo thời tiết, tải file, chặn quảng cáo, chế độ tối. Tất cả đều là những nhu cầu rất đời thường của người dùng trình duyệt.
Nhưng vấn đề nằm ở chỗ, biểu tượng PNG của các tiện ích này không chỉ là hình ảnh. Sau phần dữ liệu hiển thị bình thường, kẻ tấn công đã chèn thêm mã JavaScript độc hại, được ngăn cách bằng một chuỗi ký tự “===”. Người dùng vẫn thấy biểu tượng hiển thị hoàn toàn ổn, nhưng với phần mềm độc hại, đó lại là một cánh cửa hậu hoàn hảo.
Kỹ thuật này thuộc dạng giấu tin, steganography, tức là giấu dữ liệu độc hại trong những thứ tưởng chừng vô hại nhất. Thay vì giấu trong file lạ, chúng giấu ngay trong hình ảnh mà ai cũng tin tưởng.
Để tránh bị phát hiện, mã độc không hoạt động liên tục. Nó chờ 48 giờ giữa các lần liên lạc với máy chủ điều khiển, và chỉ nhắm vào ngẫu nhiên khoảng 10% người dùng. Dữ liệu trao đổi được mã hóa bằng cách kết hợp hoán đổi ký tự và Base64, đủ để làm khó các hệ thống giám sát đơn giản.
Kết quả cuối cùng là người dùng bị cài một bộ công cụ theo dõi toàn diện mà không hề hay biết. Mọi hành vi duyệt web đều bị quan sát, các lớp bảo vệ trình duyệt bị vô hiệu hóa, và kẻ tấn công có thể thực thi mã từ xa bất cứ lúc nào.
Một phần mục tiêu kiếm tiền rất rõ ràng. Mã độc chặn các liên kết tiếp thị liên kết và chuyển hướng hoa hồng mua hàng trên các nền tảng lớn như Taobao hay JD.com về cho kẻ vận hành. Ngoài ra, nó còn chèn iframe ẩn để tải nội dung từ máy chủ của kẻ tấn công, phục vụ gian lận quảng cáo, gian lận nhấp chuột và theo dõi người dùng.
Các tiện ích này còn thu thập dữ liệu bằng các trình theo dõi bí mật, loại bỏ tiêu đề bảo mật trong phản hồi HTTP và tìm cách vượt qua CAPTCHA. Tất cả đều dùng chung một hạ tầng điều khiển, chỉ khác nhau cách tiêm nhiễm, cho thấy kẻ tấn công đang thử nghiệm nhiều phương pháp song song.
Đáng chú ý là chiến dịch này đã đạt hơn 50.000 lượt tải xuống, trong đó tiện ích Free VPN Forever chiếm tới 16.000 lượt cài đặt, và nhiều tiện ích vẫn còn tồn tại trên cửa hàng Firefox tại thời điểm phát hiện.
Thay vì bảo vệ, những tiện ích này biến người dùng thành nguồn dữ liệu và nguồn doanh thu mà họ không hề biết. Hoạt động độc hại cũng không dừng lại ở những gì đã quan sát, vì kẻ tấn công hoàn toàn có thể thay đổi mã bất cứ lúc nào thông qua kết nối liên tục với máy chủ điều khiển.
Nếu một biểu tượng nhỏ cũng có thể trở thành nơi giấu mã độc, thì ranh giới giữa tiện ích và rủi ro trên trình duyệt của bạn thực sự mong manh đến mức nào?
Góc nhìn riêng:
Người dùng Việt thường cài rất nhiều tiện ích mà không kiểm tra kỹ nhà phát triển, quyền truy cập hay lịch sử cập nhật. Lời khuyên thực tế nhất là chỉ cài những tiện ích thật sự cần thiết, ưu tiên nguồn uy tín, hạn chế VPN miễn phí, và định kỳ rà soát lại toàn bộ tiện ích đang dùng. Trình duyệt không chỉ là công cụ lướt web, nó là cửa ngõ dữ liệu cá nhân, và mỗi tiện ích là một cánh cửa phụ cần được kiểm soát chặt chẽ. (cybernews)
Nguồn: https://cybernews.com/security/firefox-extensions-hide-malware-in-icons-infect-thousands/
Khi biểu tượng trở thành nơi ẩn náu của mã độc
Tôi vừa đọc một báo cáo khá lạnh sống lưng từ nhóm nghiên cứu Koi Security, và phải nói thẳng, đây không phải kiểu mã độc quen thuộc mà chúng ta thường nghĩ tới. Không nằm trong dòng code chính, không lộ liễu trong chức năng, thậm chí không bị các công cụ quét phát hiện. Thứ bị lợi dụng lại chính là biểu tượng của tiện ích mở rộng Firefox.Ít nhất 17 tiện ích mở rộng đã vượt qua kiểm duyệt bằng cách trông hoàn toàn vô hại. Chúng quảng cáo những thứ rất quen như VPN miễn phí, chụp màn hình, dự báo thời tiết, tải file, chặn quảng cáo, chế độ tối. Tất cả đều là những nhu cầu rất đời thường của người dùng trình duyệt.
Nhưng vấn đề nằm ở chỗ, biểu tượng PNG của các tiện ích này không chỉ là hình ảnh. Sau phần dữ liệu hiển thị bình thường, kẻ tấn công đã chèn thêm mã JavaScript độc hại, được ngăn cách bằng một chuỗi ký tự “===”. Người dùng vẫn thấy biểu tượng hiển thị hoàn toàn ổn, nhưng với phần mềm độc hại, đó lại là một cánh cửa hậu hoàn hảo.
Kỹ thuật này thuộc dạng giấu tin, steganography, tức là giấu dữ liệu độc hại trong những thứ tưởng chừng vô hại nhất. Thay vì giấu trong file lạ, chúng giấu ngay trong hình ảnh mà ai cũng tin tưởng.
Cách mã độc âm thầm hoạt động mà người dùng không hay biết
Điểm tinh vi ở đây là biểu tượng chỉ đóng vai trò như một trình tải. Khi tiện ích được cài vào trình duyệt, nó bắt đầu trích xuất phần mã ẩn và kích hoạt chuỗi lây nhiễm nhiều giai đoạn.Để tránh bị phát hiện, mã độc không hoạt động liên tục. Nó chờ 48 giờ giữa các lần liên lạc với máy chủ điều khiển, và chỉ nhắm vào ngẫu nhiên khoảng 10% người dùng. Dữ liệu trao đổi được mã hóa bằng cách kết hợp hoán đổi ký tự và Base64, đủ để làm khó các hệ thống giám sát đơn giản.
Kết quả cuối cùng là người dùng bị cài một bộ công cụ theo dõi toàn diện mà không hề hay biết. Mọi hành vi duyệt web đều bị quan sát, các lớp bảo vệ trình duyệt bị vô hiệu hóa, và kẻ tấn công có thể thực thi mã từ xa bất cứ lúc nào.
Một phần mục tiêu kiếm tiền rất rõ ràng. Mã độc chặn các liên kết tiếp thị liên kết và chuyển hướng hoa hồng mua hàng trên các nền tảng lớn như Taobao hay JD.com về cho kẻ vận hành. Ngoài ra, nó còn chèn iframe ẩn để tải nội dung từ máy chủ của kẻ tấn công, phục vụ gian lận quảng cáo, gian lận nhấp chuột và theo dõi người dùng.
Các tiện ích này còn thu thập dữ liệu bằng các trình theo dõi bí mật, loại bỏ tiêu đề bảo mật trong phản hồi HTTP và tìm cách vượt qua CAPTCHA. Tất cả đều dùng chung một hạ tầng điều khiển, chỉ khác nhau cách tiêm nhiễm, cho thấy kẻ tấn công đang thử nghiệm nhiều phương pháp song song.
Đáng chú ý là chiến dịch này đã đạt hơn 50.000 lượt tải xuống, trong đó tiện ích Free VPN Forever chiếm tới 16.000 lượt cài đặt, và nhiều tiện ích vẫn còn tồn tại trên cửa hàng Firefox tại thời điểm phát hiện.
VPN miễn phí và cái giá thật sự của sự “miễn phí”
Điểm chung dễ thấy là rất nhiều tiện ích đánh vào tâm lý thích miễn phí và tiện lợi. VPN miễn phí, chặn quảng cáo, dịch nhanh, tất cả đều hứa hẹn bảo mật và quyền riêng tư. Nhưng thực tế mà các nhà nghiên cứu nhấn mạnh rất thẳng thắn, chẳng có gì là miễn phí cả.Thay vì bảo vệ, những tiện ích này biến người dùng thành nguồn dữ liệu và nguồn doanh thu mà họ không hề biết. Hoạt động độc hại cũng không dừng lại ở những gì đã quan sát, vì kẻ tấn công hoàn toàn có thể thay đổi mã bất cứ lúc nào thông qua kết nối liên tục với máy chủ điều khiển.
Nếu một biểu tượng nhỏ cũng có thể trở thành nơi giấu mã độc, thì ranh giới giữa tiện ích và rủi ro trên trình duyệt của bạn thực sự mong manh đến mức nào?
Góc nhìn riêng:
Người dùng Việt thường cài rất nhiều tiện ích mà không kiểm tra kỹ nhà phát triển, quyền truy cập hay lịch sử cập nhật. Lời khuyên thực tế nhất là chỉ cài những tiện ích thật sự cần thiết, ưu tiên nguồn uy tín, hạn chế VPN miễn phí, và định kỳ rà soát lại toàn bộ tiện ích đang dùng. Trình duyệt không chỉ là công cụ lướt web, nó là cửa ngõ dữ liệu cá nhân, và mỗi tiện ích là một cánh cửa phụ cần được kiểm soát chặt chẽ. (cybernews)
Nguồn: https://cybernews.com/security/firefox-extensions-hide-malware-in-icons-infect-thousands/
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview