404 Not Found
Writer
Một tiện ích chặn quảng cáo giả mạo trên Chrome đang bị lợi dụng để làm treo trình duyệt, sau đó lừa người dùng tự chạy lệnh, khiến máy tính nhiễm mã độc.
Việc cài đặt tiện ích mở rộng cho trình duyệt vốn được xem là thao tác quen thuộc và ít rủi ro. Tuy nhiên, sự cố mới liên quan đến một tiện ích có tên NexShield cho thấy chính thói quen này đang trở thành điểm yếu bị tin tặc khai thác. Tiện ích trên được quảng bá là trình chặn quảng cáo nhẹ, ưu tiên quyền riêng tư và hiệu suất, thậm chí còn mạo danh nhà phát triển uBlock Origin để tạo lòng tin với người dùng.
Thực tế, NexShield không hề thực hiện chức năng chặn quảng cáo. Theo phân tích của các chuyên gia bảo mật, tiện ích này âm thầm kích hoạt một cuộc tấn công từ chối dịch vụ ngay trong trình duyệt. Nó liên tục tạo các kết nối chrome.runtime trong vòng lặp vô hạn, khiến CPU và bộ nhớ bị chiếm dụng bất thường, dẫn đến tình trạng Chrome hoặc Edge treo cứng, không phản hồi và buộc người dùng phải khởi động lại máy.
Sau khi hệ thống được khởi động lại, kịch bản lừa đảo mới bắt đầu. NexShield hiển thị các cửa sổ cảnh báo giả mạo, thông báo máy tính đang gặp lỗi nghiêm trọng và đề nghị quét hệ thống để khắc phục. Khi người dùng làm theo hướng dẫn, các thông báo tiếp theo yêu cầu sao chép một đoạn lệnh và dán vào cửa sổ PowerShell hoặc Command Prompt với mục đích “sửa lỗi”.
Trên thực tế, thao tác này đã vô tình giúp tin tặc kích hoạt một tập lệnh PowerShell ẩn, cho phép tải và thực thi mã độc từ xa. Các chuyên gia gọi đây là CrashFix, một biến thể tinh vi của kỹ thuật ClickFix, trong đó nạn nhân bị thao túng để tự thực hiện hành vi nguy hiểm thay cho kẻ tấn công.
Đáng chú ý, NexShield không hoạt động ngay sau khi được cài đặt mà trì hoãn tới khoảng một giờ. Cách làm này khiến người dùng khó liên hệ sự cố với tiện ích vừa cài, đồng thời giúp mã độc tránh bị phát hiện sớm. Theo đánh giá ban đầu, chiến dịch có dấu hiệu nhắm vào khối doanh nghiệp, nơi người dùng thường có quyền truy cập cao và dễ bị hoảng loạn khi hệ thống gặp trục trặc bất thường.
Việc cài đặt tiện ích mở rộng cho trình duyệt vốn được xem là thao tác quen thuộc và ít rủi ro. Tuy nhiên, sự cố mới liên quan đến một tiện ích có tên NexShield cho thấy chính thói quen này đang trở thành điểm yếu bị tin tặc khai thác. Tiện ích trên được quảng bá là trình chặn quảng cáo nhẹ, ưu tiên quyền riêng tư và hiệu suất, thậm chí còn mạo danh nhà phát triển uBlock Origin để tạo lòng tin với người dùng.
Thực tế, NexShield không hề thực hiện chức năng chặn quảng cáo. Theo phân tích của các chuyên gia bảo mật, tiện ích này âm thầm kích hoạt một cuộc tấn công từ chối dịch vụ ngay trong trình duyệt. Nó liên tục tạo các kết nối chrome.runtime trong vòng lặp vô hạn, khiến CPU và bộ nhớ bị chiếm dụng bất thường, dẫn đến tình trạng Chrome hoặc Edge treo cứng, không phản hồi và buộc người dùng phải khởi động lại máy.
Sau khi hệ thống được khởi động lại, kịch bản lừa đảo mới bắt đầu. NexShield hiển thị các cửa sổ cảnh báo giả mạo, thông báo máy tính đang gặp lỗi nghiêm trọng và đề nghị quét hệ thống để khắc phục. Khi người dùng làm theo hướng dẫn, các thông báo tiếp theo yêu cầu sao chép một đoạn lệnh và dán vào cửa sổ PowerShell hoặc Command Prompt với mục đích “sửa lỗi”.
Trên thực tế, thao tác này đã vô tình giúp tin tặc kích hoạt một tập lệnh PowerShell ẩn, cho phép tải và thực thi mã độc từ xa. Các chuyên gia gọi đây là CrashFix, một biến thể tinh vi của kỹ thuật ClickFix, trong đó nạn nhân bị thao túng để tự thực hiện hành vi nguy hiểm thay cho kẻ tấn công.
Đáng chú ý, NexShield không hoạt động ngay sau khi được cài đặt mà trì hoãn tới khoảng một giờ. Cách làm này khiến người dùng khó liên hệ sự cố với tiện ích vừa cài, đồng thời giúp mã độc tránh bị phát hiện sớm. Theo đánh giá ban đầu, chiến dịch có dấu hiệu nhắm vào khối doanh nghiệp, nơi người dùng thường có quyền truy cập cao và dễ bị hoảng loạn khi hệ thống gặp trục trặc bất thường.
Hiện Google đã gỡ NexShield khỏi Chrome Web Store. Dù vậy, vụ việc tiếp tục gióng lên hồi chuông cảnh báo về rủi ro từ các tiện ích mở rộng, đặc biệt trong bối cảnh tin tặc sẵn sàng mua quảng cáo để đẩy phần mềm giả mạo lên top tìm kiếm. Các chuyên gia khuyến cáo người dùng chỉ cài tiện ích từ nhà phát triển uy tín, kiểm tra kỹ thông tin tác giả và tuyệt đối không chạy lệnh hệ thống theo hướng dẫn từ các pop-up trình duyệt.
Tổng hợp
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
