Duy Linh
Writer
Một cuộc điều tra của Koi Security đã vạch trần chiến dịch "RedDirection" – một hoạt động chiếm quyền điều khiển trình duyệt quy mô lớn, ảnh hưởng đến hơn 2,3 triệu người dùng thông qua các tiện ích mở rộng trên Chrome và Microsoft Edge. Chiến dịch này lợi dụng các tín hiệu đáng tin cậy như huy hiệu xác minh, vị trí nổi bật và số lượt cài đặt cao để phân phối phần mềm độc hại dưới dạng công cụ giải trí hoặc năng suất.
Trong số các tiện ích liên quan có “Color Picker, Eyedropper Geco colorpick”, “Video Speed Controller” và “Emoji keyboard online”. Các tiện ích này hoạt động bình thường nhưng âm thầm cài mã giám sát và chuyển hướng. Đặc biệt, RedDirection đã sử dụng chiến thuật ẩn mình suốt nhiều năm, chỉ phát tán mã độc thông qua các bản cập nhật tự động sau này – một lỗ hổng lớn trong cơ chế kiểm duyệt của Google và Microsoft.
Một khi cập nhật được cài đặt, phần mềm độc hại bắt đầu theo dõi mọi hoạt động duyệt web, thu thập URL và chuyển hướng người dùng đến các trang web lừa đảo thông qua các máy chủ điều khiển như admitclick[.]net và click.videocontrolls[.]com. Những bản cập nhật này không cần sự cho phép từ người dùng, khiến các tiện ích tưởng chừng vô hại trở thành công cụ giám sát nguy hiểm.
Điều đáng lo ngại là mỗi tiện ích bị nhiễm có trên 100.000 lượt tải về, một số còn được gắn huy hiệu xác minh chính thức từ Google, cho thấy sự thất bại trong quy trình xác minh và giám sát tiện ích mở rộng. Việc các nền tảng tập trung vào số lượng hơn chất lượng đã vô tình tạo điều kiện cho các chiến dịch như RedDirection lây lan nhanh chóng.
Ngoài các công cụ phổ biến, chiến dịch còn bao gồm tiện ích proxy VPN, dự báo thời tiết, chế độ tối và tăng âm lượng cho các nền tảng như TikTok, Discord... Mỗi tiện ích sử dụng một miền phụ riêng để che giấu kết nối với hạ tầng tấn công trung tâm, giúp tránh bị phát hiện.
Koi Security cảnh báo rằng đây không phải là một sự cố đơn lẻ, mà là hồi chuông báo động cho sự yếu kém trong bảo mật thị trường tiện ích mở rộng hiện tại. Công ty khuyến nghị người dùng nên gỡ bỏ các tiện ích nghi ngờ, xóa dữ liệu trình duyệt và quét toàn bộ hệ thống để ngăn nguy cơ bị lây nhiễm sâu hơn. Đồng thời, Koi Security nhấn mạnh tầm quan trọng của khả năng giám sát mã nguồn từ bên thứ ba và quản trị bảo mật chặt chẽ trong môi trường số.
Đọc chi tiết tại đây: https://gbhackers.com/11-google-verified-chrome-extensions-infected/
Trong số các tiện ích liên quan có “Color Picker, Eyedropper Geco colorpick”, “Video Speed Controller” và “Emoji keyboard online”. Các tiện ích này hoạt động bình thường nhưng âm thầm cài mã giám sát và chuyển hướng. Đặc biệt, RedDirection đã sử dụng chiến thuật ẩn mình suốt nhiều năm, chỉ phát tán mã độc thông qua các bản cập nhật tự động sau này – một lỗ hổng lớn trong cơ chế kiểm duyệt của Google và Microsoft.
Một khi cập nhật được cài đặt, phần mềm độc hại bắt đầu theo dõi mọi hoạt động duyệt web, thu thập URL và chuyển hướng người dùng đến các trang web lừa đảo thông qua các máy chủ điều khiển như admitclick[.]net và click.videocontrolls[.]com. Những bản cập nhật này không cần sự cho phép từ người dùng, khiến các tiện ích tưởng chừng vô hại trở thành công cụ giám sát nguy hiểm.
Lỗ hổng bảo mật từ hệ sinh thái mở rộng trình duyệt
Cuộc điều tra của Koi Security phát hiện mã độc được kích hoạt khi người dùng mở tab mới, tự động gửi dữ liệu nhạy cảm đến máy chủ từ xa và thậm chí có thể thực hiện các cuộc tấn công trung gian. Điều này khiến người dùng có thể bị chuyển hướng đến các trang ngân hàng hoặc Zoom giả mạo, dễ dàng đánh cắp thông tin đăng nhập hoặc dụ cài thêm phần mềm độc hại.Điều đáng lo ngại là mỗi tiện ích bị nhiễm có trên 100.000 lượt tải về, một số còn được gắn huy hiệu xác minh chính thức từ Google, cho thấy sự thất bại trong quy trình xác minh và giám sát tiện ích mở rộng. Việc các nền tảng tập trung vào số lượng hơn chất lượng đã vô tình tạo điều kiện cho các chiến dịch như RedDirection lây lan nhanh chóng.
Ngoài các công cụ phổ biến, chiến dịch còn bao gồm tiện ích proxy VPN, dự báo thời tiết, chế độ tối và tăng âm lượng cho các nền tảng như TikTok, Discord... Mỗi tiện ích sử dụng một miền phụ riêng để che giấu kết nối với hạ tầng tấn công trung tâm, giúp tránh bị phát hiện.
Koi Security cảnh báo rằng đây không phải là một sự cố đơn lẻ, mà là hồi chuông báo động cho sự yếu kém trong bảo mật thị trường tiện ích mở rộng hiện tại. Công ty khuyến nghị người dùng nên gỡ bỏ các tiện ích nghi ngờ, xóa dữ liệu trình duyệt và quét toàn bộ hệ thống để ngăn nguy cơ bị lây nhiễm sâu hơn. Đồng thời, Koi Security nhấn mạnh tầm quan trọng của khả năng giám sát mã nguồn từ bên thứ ba và quản trị bảo mật chặt chẽ trong môi trường số.
Đọc chi tiết tại đây: https://gbhackers.com/11-google-verified-chrome-extensions-infected/