Nguyễn Tiến Đạt
Intern Writer
Các chuyên gia an ninh mạng vừa phát hiện hai tiện ích mở rộng độc hại trên Google Chrome có khả năng chặn lưu lượng truy cập, đóng vai trò trung gian và đánh cắp thông tin đăng nhập của người dùng trên hơn 170 trang web khác nhau. Đáng lo ngại, cả hai tiện ích đều có cùng tên gọi, cùng nhà phát triển và vẫn đang được phát hành công khai trên Chrome Web Store tại thời điểm nghiên cứu.
Hai tiện ích này được quảng bá dưới dạng “plugin kiểm tra tốc độ mạng đa điểm”, nhắm tới nhóm nhà phát triển phần mềm và nhân sự thương mại quốc tế. Thông tin chi tiết gồm:
Tàu con thoi ma (ID: fbfldogmkadejddihifklefknmikncaj) – khoảng 2.000 người dùng, phát hành ngày 26/11/2017
Phantom Shuttle (ID: ocpcmfmiidofonkbodpdhgddhlcmcofd) – khoảng 180 người dùng, phát hành ngày 27/4/2023
Theo nhà nghiên cứu Kush Pandya của Socket, người dùng đã trả phí từ 9,9 đến 95,9 nhân dân tệ (khoảng 35.000 – 340.000 VNĐ) với niềm tin rằng họ đang mua một dịch vụ VPN hợp pháp. Trên thực tế, cả hai tiện ích đều thực hiện cùng một chuỗi hành vi độc hại.
Các tiện ích vẫn hoạt động đúng như quảng cáo: đo độ trễ mạng, hiển thị trạng thái kết nối, tạo cảm giác là công cụ hợp pháp. Tuy nhiên, bên trong chúng đã bị chỉnh sửa mã độc, được chèn vào hai thư viện JavaScript là jquery-1.12.2.min.js và scripts.js.
Mã độc này đăng ký trình lắng nghe chrome.webRequest.onAuthRequired, cho phép tự động chèn thông tin xác thực proxy được mã hóa cứng (topfany / 963852wei) vào mọi yêu cầu xác thực HTTP. Quá trình này diễn ra trước khi trình duyệt hiển thị bất kỳ hộp thoại đăng nhập nào, hoàn toàn ngoài nhận thức của người dùng. Chế độ asyncBlocking đảm bảo việc chèn thông tin diễn ra đồng bộ, không thể bị can thiệp.
Sau khi xác thực thành công, tiện ích sử dụng Proxy Auto-Config (PAC) để triển khai ba chế độ hoạt động:
Đóng: tắt hoàn toàn proxy
Luôn luôn: định tuyến toàn bộ lưu lượng web qua proxy
Smarty: chỉ định tuyến danh sách hơn 170 tên miền mục tiêu qua proxy
Danh sách này bao gồm các nền tảng phát triển (GitHub, Stack Overflow, Docker), dịch vụ đám mây (AWS, DigitalOcean, Microsoft Azure), giải pháp doanh nghiệp (Cisco, IBM, VMware), mạng xã hội (Facebook, Instagram, Twitter) và cả các trang web nội dung người lớn. Theo Socket, việc đưa các trang web khiêu *** vào danh sách có thể phục vụ mục đích đe dọa hoặc tống tiền.
Toàn bộ lưu lượng bị chuyển qua máy chủ proxy do kẻ tấn công kiểm soát, tạo điều kiện cho tấn công trung gian (Man-in-the-Middle): thu thập dữ liệu, thao túng phản hồi và chèn mã độc bổ sung. Đồng thời, tiện ích duy trì cơ chế “nhịp tim” gửi dữ liệu về máy chủ C2 tại tên miền phantomshuttle[.]space (hiện vẫn hoạt động).
Đáng chú ý, cứ mỗi năm phút, tiện ích sẽ gửi email, mật khẩu dạng văn bản thuần và phiên bản VIP của người dùng về máy chủ bên ngoài thông qua yêu cầu HTTP GET. Cơ chế này cho phép kẻ tấn công giám sát liên tục phiên làm việc và đánh cắp thông tin đăng nhập theo thời gian thực.
Theo đánh giá của Socket, sự kết hợp giữa đánh cắp thông tin định kỳ và thu thập lưu lượng trực tiếp qua proxy tạo ra một hệ thống giám sát toàn diện, hoạt động âm thầm trong suốt thời gian tiện ích còn được cài đặt.
Hệ quả là người dùng có nguy cơ bị lộ mật khẩu, số thẻ tín dụng, cookie xác thực, lịch sử duyệt web, dữ liệu biểu mẫu, khóa API và token truy cập. Với nhà phát triển, việc lộ khóa bí mật còn có thể mở đường cho các cuộc tấn công chuỗi cung ứng.
Dù danh tính kẻ đứng sau chiến dịch chưa được xác định, nhiều dấu hiệu cho thấy hoạt động này có nguồn gốc từ Trung Quốc, bao gồm việc sử dụng tiếng Trung trong mô tả, tích hợp thanh toán Alipay/WeChat Pay và hạ tầng máy chủ đặt trên Alibaba Cloud.
Socket cảnh báo rằng mô hình thu phí thuê bao giúp duy trì nạn nhân lâu dài, đồng thời tạo vỏ bọc hợp pháp cho hoạt động gián điệp dữ liệu. Người dùng được khuyến nghị gỡ bỏ ngay lập tức các tiện ích này. Với doanh nghiệp, cần áp dụng danh sách cho phép tiện ích mở rộng, giám sát các tiện ích có quyền proxy và hệ thống thanh toán, đồng thời theo dõi lưu lượng mạng để phát hiện các hành vi xác thực proxy bất thường.(thehackernews)
Hai tiện ích này được quảng bá dưới dạng “plugin kiểm tra tốc độ mạng đa điểm”, nhắm tới nhóm nhà phát triển phần mềm và nhân sự thương mại quốc tế. Thông tin chi tiết gồm:
Tàu con thoi ma (ID: fbfldogmkadejddihifklefknmikncaj) – khoảng 2.000 người dùng, phát hành ngày 26/11/2017
Phantom Shuttle (ID: ocpcmfmiidofonkbodpdhgddhlcmcofd) – khoảng 180 người dùng, phát hành ngày 27/4/2023
Theo nhà nghiên cứu Kush Pandya của Socket, người dùng đã trả phí từ 9,9 đến 95,9 nhân dân tệ (khoảng 35.000 – 340.000 VNĐ) với niềm tin rằng họ đang mua một dịch vụ VPN hợp pháp. Trên thực tế, cả hai tiện ích đều thực hiện cùng một chuỗi hành vi độc hại.
Cơ chế tấn công: Proxy trung gian, MitM và đánh cắp thông tin liên tục
Sau khi người dùng thanh toán và được cấp trạng thái VIP, tiện ích sẽ tự động kích hoạt chế độ proxy “thông minh”. Từ thời điểm này, lưu lượng truy cập đến hơn 170 tên miền có giá trị cao sẽ bị định tuyến qua hạ tầng do kẻ tấn công kiểm soát.Các tiện ích vẫn hoạt động đúng như quảng cáo: đo độ trễ mạng, hiển thị trạng thái kết nối, tạo cảm giác là công cụ hợp pháp. Tuy nhiên, bên trong chúng đã bị chỉnh sửa mã độc, được chèn vào hai thư viện JavaScript là jquery-1.12.2.min.js và scripts.js.
Mã độc này đăng ký trình lắng nghe chrome.webRequest.onAuthRequired, cho phép tự động chèn thông tin xác thực proxy được mã hóa cứng (topfany / 963852wei) vào mọi yêu cầu xác thực HTTP. Quá trình này diễn ra trước khi trình duyệt hiển thị bất kỳ hộp thoại đăng nhập nào, hoàn toàn ngoài nhận thức của người dùng. Chế độ asyncBlocking đảm bảo việc chèn thông tin diễn ra đồng bộ, không thể bị can thiệp.
Sau khi xác thực thành công, tiện ích sử dụng Proxy Auto-Config (PAC) để triển khai ba chế độ hoạt động:
Đóng: tắt hoàn toàn proxy
Luôn luôn: định tuyến toàn bộ lưu lượng web qua proxy
Smarty: chỉ định tuyến danh sách hơn 170 tên miền mục tiêu qua proxy
Danh sách này bao gồm các nền tảng phát triển (GitHub, Stack Overflow, Docker), dịch vụ đám mây (AWS, DigitalOcean, Microsoft Azure), giải pháp doanh nghiệp (Cisco, IBM, VMware), mạng xã hội (Facebook, Instagram, Twitter) và cả các trang web nội dung người lớn. Theo Socket, việc đưa các trang web khiêu *** vào danh sách có thể phục vụ mục đích đe dọa hoặc tống tiền.
Toàn bộ lưu lượng bị chuyển qua máy chủ proxy do kẻ tấn công kiểm soát, tạo điều kiện cho tấn công trung gian (Man-in-the-Middle): thu thập dữ liệu, thao túng phản hồi và chèn mã độc bổ sung. Đồng thời, tiện ích duy trì cơ chế “nhịp tim” gửi dữ liệu về máy chủ C2 tại tên miền phantomshuttle[.]space (hiện vẫn hoạt động).
Đáng chú ý, cứ mỗi năm phút, tiện ích sẽ gửi email, mật khẩu dạng văn bản thuần và phiên bản VIP của người dùng về máy chủ bên ngoài thông qua yêu cầu HTTP GET. Cơ chế này cho phép kẻ tấn công giám sát liên tục phiên làm việc và đánh cắp thông tin đăng nhập theo thời gian thực.
Theo đánh giá của Socket, sự kết hợp giữa đánh cắp thông tin định kỳ và thu thập lưu lượng trực tiếp qua proxy tạo ra một hệ thống giám sát toàn diện, hoạt động âm thầm trong suốt thời gian tiện ích còn được cài đặt.
Hệ quả là người dùng có nguy cơ bị lộ mật khẩu, số thẻ tín dụng, cookie xác thực, lịch sử duyệt web, dữ liệu biểu mẫu, khóa API và token truy cập. Với nhà phát triển, việc lộ khóa bí mật còn có thể mở đường cho các cuộc tấn công chuỗi cung ứng.
Dù danh tính kẻ đứng sau chiến dịch chưa được xác định, nhiều dấu hiệu cho thấy hoạt động này có nguồn gốc từ Trung Quốc, bao gồm việc sử dụng tiếng Trung trong mô tả, tích hợp thanh toán Alipay/WeChat Pay và hạ tầng máy chủ đặt trên Alibaba Cloud.
Socket cảnh báo rằng mô hình thu phí thuê bao giúp duy trì nạn nhân lâu dài, đồng thời tạo vỏ bọc hợp pháp cho hoạt động gián điệp dữ liệu. Người dùng được khuyến nghị gỡ bỏ ngay lập tức các tiện ích này. Với doanh nghiệp, cần áp dụng danh sách cho phép tiện ích mở rộng, giám sát các tiện ích có quyền proxy và hệ thống thanh toán, đồng thời theo dõi lưu lượng mạng để phát hiện các hành vi xác thực proxy bất thường.(thehackernews)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
