VietNetwork.Vn

Một chiến dịch mới có tên GhostPoster đã lợi dụng các tệp logo liên kết với 17 tiện ích mở rộng của trình duyệt Mozilla Firefox để nhúng mã JavaScript độc hại, được thiết kế để chiếm đoạt các liên kết tiếp thị liên kết, chèn mã theo dõi và thực hiện gian lận nhấp chuột và quảng cáo.

Theo Koi Security, đơn vị phát hiện chiến dịch này, các tiện ích mở rộng đã được tải xuống tổng cộng hơn 50.000 lần. Hiện tại, các tiện ích bổ sung này không còn khả dụng nữa.


Các chương trình trình duyệt này được quảng cáo là VPN, tiện ích chụp ảnh màn hình, trình chặn quảng cáo và các phiên bản không chính thức của Google Translate. Tiện ích bổ sung lâu đời nhất, Dark Mode, được phát hành vào ngày 25 tháng 10 năm 2024, cho phép bật giao diện tối cho tất cả các trang web. Danh sách đầy đủ các tiện ích bổ sung trình duyệt được liệt kê bên dưới:

    VPN miễn phí
    Ảnh chụp màn hình
    Thời tiết (dự báo thời tiết tốt nhất)
    Cử chỉ chuột (crxMouse)
    Cache - Trình tải trang nhanh
    Tải xuống MP3 miễn phí
    Google Translate (google-translate-right-clicks)
    Trình dịch của Google
    VPN toàn cầu - Miễn phí mãi mãi
    Chế độ tối của trình đọc sách
    Công cụ dịch - Google Bing Baidu DeepL
    Thời tiết (i-like-weather)
    Google Translate (tiện ích mở rộng google-translate-pro)
    谷歌翻译
    libretv-watch-free-videos
    Ad Stop - Trình chặn quảng cáo tốt nhất
    Google Translate (nhấp chuột phải - Google Translate)

Các nhà nghiên cứu bảo mật Lotan Sery và Noga Gouldman cho biết: "Thực chất, chúng phát tán một loại mã độc nhiều giai đoạn, theo dõi mọi thứ bạn duyệt web, loại bỏ các biện pháp bảo vệ an ninh của trình duyệt và mở một cửa hậu để thực thi mã từ xa."

Chuỗi tấn công bắt đầu khi tệp logo được tải xuống khi một trong các phần mở rộng đã đề cập ở trên được tải. Mã độc sẽ phân tích tệp để tìm kiếm dấu hiệu chứa ký hiệu "===" nhằm trích xuất mã JavaScript, một trình tải sẽ kết nối với máy chủ bên ngoài ("www.liveupdt[.]com" hoặc "www.dealctr[.]com") để lấy phần mềm độc hại chính, chờ 48 giờ giữa mỗi lần thử.


Để né tránh sự phát hiện hơn nữa, trình tải được cấu hình để chỉ tải về dữ liệu độc hại trong 10% trường hợp. Tính ngẫu nhiên này là một lựa chọn có chủ đích nhằm tránh các nỗ lực giám sát lưu lượng mạng. Dữ liệu độc hại được tải về là một bộ công cụ toàn diện được mã hóa tùy chỉnh, có khả năng kiếm tiền từ các hoạt động trên trình duyệt mà nạn nhân không hề hay biết thông qua bốn cách khác nhau:

    Tấn công chiếm đoạt liên kết tiếp thị liên kết, chặn các liên kết tiếp thị liên kết đến các trang thương mại điện tử như Taobao hoặc   Đăng nhập để xem liên kết, tước đoạt hoa hồng của các nhà tiếp thị liên kết hợp pháp.
    Phương pháp chèn mã theo dõi, tức là chèn mã theo dõi của Google Analytics vào mọi trang web mà nạn nhân truy cập, nhằm mục đích thu thập thông tin cá nhân của họ một cách âm thầm.
    Việc loại bỏ các tiêu đề bảo mật như Content-Security-Policy và X-Frame-Options khỏi phản hồi HTTP khiến người dùng dễ bị tấn công clickjacking và tấn công kịch bản chéo trang (cross-site scripting).
    Tấn công chèn iframe ẩn, cho phép chèn các iframe vô hình vào các trang web để tải URL từ máy chủ do kẻ tấn công kiểm soát và tạo điều kiện cho gian lận quảng cáo và nhấp chuột.
    Phương pháp vượt qua CAPTCHA, sử dụng nhiều cách khác nhau để vượt qua các thử thách CAPTCHA và né tránh các biện pháp bảo vệ chống phát hiện bot.

"Tại sao phần mềm độc hại lại cần phải vượt qua CAPTCHA? Bởi vì một số thao tác của nó, chẳng hạn như chèn iframe ẩn, sẽ kích hoạt tính năng phát hiện bot," các nhà nghiên cứu giải thích. "Phần mềm độc hại cần phải chứng minh nó là 'con người' để tiếp tục hoạt động."

Bên cạnh các bước kiểm tra xác suất, các tiện ích bổ sung còn tích hợp thêm các cơ chế trì hoãn dựa trên thời gian, ngăn chặn phần mềm độc hại kích hoạt cho đến hơn sáu ngày sau khi cài đặt. Các kỹ thuật né tránh nhiều lớp này khiến việc phát hiện những gì đang diễn ra phía sau hậu trường trở nên khó khăn hơn.

Điều đáng nhấn mạnh ở đây là không phải tất cả các phần mở rộng nêu trên đều sử dụng cùng một chuỗi tấn công giấu tin, nhưng tất cả chúng đều thể hiện cùng một hành vi và giao tiếp với cùng một cơ sở hạ tầng điều khiển và kiểm soát (C2), cho thấy đó là công việc của một tác nhân hoặc nhóm tội phạm duy nhất đã thử nghiệm với các mồi nhử và phương pháp khác nhau.

Diễn biến này xảy ra chỉ vài ngày sau khi một tiện ích mở rộng VPN phổ biến dành cho Google Chrome và Microsoft Edge bị phát hiện bí mật thu thập các cuộc hội thoại AI từ ChatGPT, Claude và Gemini rồi chuyển chúng cho các nhà môi giới dữ liệu. Vào tháng 8 năm 2025, một tiện ích mở rộng khác của Chrome có tên   Đăng nhập để xem liên kết cũng bị phát hiện thu thập ảnh chụp màn hình, thông tin hệ thống và vị trí của người dùng.

"Các dịch vụ VPN miễn phí hứa hẹn bảo mật, nhưng chẳng có gì là miễn phí cả," Koi Security cho biết. "Hết lần này đến lần khác, chúng lại mang đến sự giám sát."