Mục lục
Giới bảo mật toàn cầu vừa phát đi một cảnh báo khẩn cấp về một chiến dịch tấn công mạng tinh vi, đang âm thầm kiểm soát hàng triệu thiết bị trên khắp thế giới. Nguồn cơn của sự lây nhiễm này không đến từ những trang web đen hay tệp tin lạ, mà lại xuất phát từ chính những tiện ích mở rộng (extension) hợp pháp trên hai trình duyệt phổ biến nhất hiện nay là Google Chrome và Microsoft Edge. Theo các báo cáo điều tra, những ứng dụng vốn dĩ “sạch sẽ” này đã bị tin tặc biến chất thông qua các bản cập nhật phần mềm, qua đó cài cắm mã độc và biến máy tính của người dùng thành những “zombie” phục vụ cho mục đích đánh cắp thông tin.
Sự trỗi dậy của nhóm tin tặc ShadyPanda
Các chuyên gia tại hãng bảo mật Koi đã vạch trần chân tướng của kẻ đứng sau chiến dịch nguy hiểm này. Đó là một tổ chức tội phạm mạng có nguồn gốc từ Trung Quốc, hoạt động dưới bí danh “ShadyPanda”. Nhóm này đang vận hành song song ít nhất hai chiến dịch phát tán phần mềm độc hại, sử dụng chính các tiện ích trình duyệt làm vũ khí tấn công.
Trong chiến dịch đầu tiên, nhóm hacker này đã nhắm vào ít nhất năm tiện ích mở rộng khác nhau. Điều đáng sợ là các tiện ích này đã hoạt động hoàn toàn bình thường trong suốt 5 năm trời, tạo dựng được lòng tin vững chắc nơi người dùng trước khi bất ngờ “trở mặt”. Ví dụ điển hình nhất là Clean Master – một công cụ hỗ trợ dọn dẹp bộ nhớ đệm. Ứng dụng này từng sở hữu hơn 200.000 người dùng trung thành và thậm chí còn được Google trao tặng các huy hiệu uy tín như “Nổi bật” và “Đã xác minh” trên cửa hàng ứng dụng Chrome Web Store. Tuy nhiên, vỏ bọc hoàn hảo này đã bị lột bỏ khi Google phát hiện ra sự bất thường và xóa sổ nó khỏi hệ thống.
Chưa dừng lại ở đó, chiến dịch thứ hai của ShadyPanda còn có quy mô khủng khiếp hơn với năm tiện ích bổ sung khác. Nổi bật trong số đó là WeTab, một công cụ quản lý tab trình duyệt đang có hơn 3 triệu lượt cài đặt. Tổng cộng, mạng lưới tiện ích độc hại này đã xâm nhập vào hơn 4 triệu máy tính trên toàn cầu. Một thực tế đáng báo động là trái ngược với sự can thiệp của Google đối với Clean Master, cả 5 tiện ích chứa mã độc trong chiến dịch thứ hai này hiện vẫn đang tồn tại ngang nhiên và hoạt động trực tuyến trên kho tiện ích bổ sung của Microsoft Edge.
Thủ đoạn “bình cũ rượu mới” và gián điệp dữ liệu từ Chrome, Edge
Theo phân tích kỹ thuật, các đoạn mã độc hại đã được tiêm vào các tiện ích nói trên trong năm 2024. Đây là một thủ đoạn “ký sinh” tinh vi: thay vì tạo ra ứng dụng độc hại mới dễ bị phát hiện, hacker chọn cách cập nhật mã độc vào các ứng dụng uy tín đã có sẵn lượng người dùng lớn. Khi quá trình cập nhật hoàn tất, các tiện ích này lột xác thành phần mềm gián điệp (spyware), bí mật thu thập toàn bộ dữ liệu duyệt web của nạn nhân và gửi về các máy chủ điều khiển đặt tại Trung Quốc theo thời gian thực.
Các nhà nghiên cứu mô tả phương thức hoạt động của ShadyPanda là xây dựng một “khung thực thi mã từ xa”. Nói một cách dễ hiểu cho người dùng phổ thông, điều này có nghĩa là hacker có thể ra lệnh cho trình duyệt của bạn tự động tải xuống và chạy các đoạn mã JavaScript bất kỳ mà bạn không hề hay biết hay cho phép. Với hơn 4,3 triệu thiết bị bị lây nhiễm, lượng dữ liệu bị đánh cắp là vô cùng lớn.
Lịch sử hoạt động của ShadyPanda cho thấy sự leo thang trong mức độ nguy hiểm. Nhóm này bắt đầu được ghi nhận hoạt động từ năm 2018, với các cuộc tấn công ban đầu vào năm 2023 chủ yếu tập trung vào gian lận tiếp thị liên kết (affiliate fraud). Khi đó, chúng cài cắm mã theo dõi vào các cú nhấp chuột mua sắm của người dùng để trục lợi hoa hồng. Tuy nhiên, giờ đây chúng đã mở rộng tham vọng sang việc đánh cắp dữ liệu quy mô lớn, lợi dụng kẽ hở trong quy trình kiểm duyệt cập nhật lỏng lẻo của Google đối với các tiện ích cũ so với các tiện ích mới.
Hành động khẩn cấp để bảo vệ thiết bị
Đối mặt với nguy cơ an ninh nghiêm trọng này, công ty bảo mật Koi đã công khai toàn bộ danh sách các mã định danh (ID) của những tiện ích độc hại trên Chrome và Edge. Người dùng cần phải hành động ngay lập tức để rà soát và thanh lọc trình duyệt của mình.
Quy trình kiểm tra như sau: Hãy mở trình duyệt Chrome hoặc Edge của bạn. Trên thanh địa chỉ, nhập `chrome://extensions/` (đối với Chrome) hoặc `edge://extensions/` (đối với Edge) để vào trang quản lý tiện ích. Tại đây, bạn cần bật “Chế độ dành cho nhà phát triển” (Developer Mode) – thường là một nút gạt nhỏ ở góc màn hình. Thao tác này sẽ làm hiện ra các dòng mã ID của từng tiện ích.
Hãy đối chiếu các mã ID này với danh sách cảnh báo từ các nhà nghiên cứu. Nếu phát hiện bất kỳ sự trùng khớp nào, hãy nhấn nút “Xóa” (Remove) ngay lập tức. Đừng chần chừ, bởi mỗi giây trôi qua là thêm một lượng dữ liệu cá nhân của bạn có nguy cơ bị gửi ra nước ngoài. Việc gỡ bỏ triệt để các tiện ích này là cách duy nhất để cắt đứt liên kết gián điệp đang ẩn mình trong máy tính của bạn.