Duy Linh
Writer
McAfee vừa phát hiện một chiến dịch tấn công mạng tinh vi sử dụng tiện ích mở rộng Chromium độc hại để đánh cắp tiền điện tử. Thay vì tấn công trực tiếp vào ví của nạn nhân, phần mềm độc hại âm thầm thay thế địa chỉ ví trong quá trình sao chép và dán, khiến tiền được chuyển đến ví do kẻ tấn công kiểm soát mà người dùng rất khó phát hiện.
Phần mềm độc hại được phát tán thông qua các trình cài đặt không có chữ ký, xuất hiện dưới cả hai phiên bản .NET và Golang. Để đánh lừa người dùng, nó ngụy trang thành một tiện ích mở rộng trình duyệt tối giản giống "Google Notes".
Trình cài đặt đầu tiên lạm dụng cơ chế bảo mật của Chromium. Thay vì cài đặt thông qua các cửa hàng tiện ích mở rộng chính thức, nó tìm kiếm hồ sơ người dùng trên Chrome, Edge, Brave cùng các trình duyệt Chromium khác, buộc đóng toàn bộ tiến trình trình duyệt rồi trực tiếp chỉnh sửa các tệp Secure Preferences và Preferences để đăng ký tiện ích mở rộng.
Để vượt qua cơ chế kiểm tra tính toàn vẹn, phần mềm độc hại tính toán lại và ghi các giá trị xác minh MAC/HMAC (super_mac/mac) bằng cách sử dụng các định danh riêng của hệ thống, chẳng hạn SID của máy cùng một chuỗi ký tự ban đầu.
Trên các phiên bản Chromium cũ, thủ thuật này cho phép tiện ích mở rộng được tải âm thầm. Với các trình duyệt đã cập nhật, kẻ tấn công chuyển sang sử dụng kỹ thuật xã hội hoặc kích hoạt chế độ nhà phát triển và cài đặt tiện ích chưa đóng gói bằng lập trình để duy trì hoạt động. Sau khi hoàn tất quá trình cài đặt, trình cài đặt sẽ tự xóa nhằm giảm thiểu dấu vết trên hệ thống.
Phần mở rộng độc hại là trọng tâm của chiến dịch này (Nguồn: McAfee).
Một điểm đáng chú ý khác là tiện ích mở rộng không sử dụng máy chủ điều khiển (C2) được mã hóa cứng. Thay vào đó, nó truy vấn một điểm cuối RPC công khai trên blockchain rồi gọi phương thức chỉ đọc của một hợp đồng thông minh.
Hợp đồng này trả về chuỗi dữ liệu đã được mã hóa. Trong quá trình chạy, tiện ích sẽ giải mã chuỗi để lấy tên miền C2 đang hoạt động. McAfee quan sát thấy các tên miền như devops-offensive[.]cc và Zebregts[.]com.
Tóm lại, cách thức hoạt động của tiện ích mở rộng này như sau (Nguồn: McAfee).
Cách tiếp cận này được gọi là EtherHiding, cho phép kẻ vận hành thay đổi hạ tầng điều khiển chỉ bằng cách cập nhật dữ liệu trên blockchain, khiến việc phát hiện và triệt phá trở nên khó khăn hơn vì phần mềm độc hại không chứa các chỉ báo C2 cố định.
Các tập lệnh nội dung theo dõi sự kiện sao chép, sử dụng các biểu thức chính quy để phát hiện địa chỉ ví của Bitcoin, Ethereum, Bitcoin Cash, Ripple, Dash và Solana.
Khi phát hiện địa chỉ ví, tiện ích sẽ gửi dữ liệu tới máy chủ của kẻ tấn công thông qua khóa API được nhúng sẵn. Máy chủ sẽ trả về địa chỉ ví thay thế, sau đó ghi đè trực tiếp lên clipboard.
Qua quá trình tái dựng hệ thống phụ trợ, McAfee xác định các blockchain BTC, ETH, BCH, XRP và DASH đều sử dụng cơ chế ánh xạ một-một giữa địa chỉ của nạn nhân và địa chỉ của kẻ tấn công. Riêng Solana lại sử dụng một địa chỉ nhận cố định duy nhất.
Dữ liệu hoạt động cho thấy chiến dịch diễn ra trên phạm vi toàn cầu, tập trung nhiều tại Ấn Độ, cho thấy đây là hoạt động nhắm mục tiêu mang tính cơ hội đối với người dùng tiền điện tử hơn là chiến dịch giới hạn theo khu vực.
URL RPC kết nối tới một nút blockchain công khai được sử dụng để tự động phân giải thông tin máy chủ điều khiển, giúp che giấu hạ tầng phía sau các hệ thống phi tập trung.
Trình cài đặt cũng nhúng sẵn các tệp cấu hình JSON, bao gồm khóa API, tệp manifest của tiện ích, địa chỉ ví mục tiêu và điểm cuối RPC ngay bên trong tệp nhị phân. Sau đó, nó tải gói tiện ích đã nén từ hxxps://google-services[.]cc/base[.]zip, cho phép triển khai theo từng giai đoạn mà không cần tải cấu hình ban đầu từ bên ngoài.
Phân giải tên miền C2 của kẻ tấn công thông qua hợp đồng thông minh Ethereum (Nguồn: McAfee).
McAfee khuyến nghị người dùng chỉ cài đặt tiện ích mở rộng từ các cửa hàng chính thức, kiểm tra kỹ các quyền truy cập bất thường, đặc biệt với các ứng dụng ghi chú nhưng lại yêu cầu quyền truy cập clipboard hoặc toàn bộ URL. Trước khi gửi tiền điện tử, người dùng nên kiểm tra sáu ký tự đầu và sáu ký tự cuối của địa chỉ ví trên một thiết bị riêng biệt, đồng thời tránh chạy các trình cài đặt không có chữ ký từ nguồn không đáng tin cậy.
Theo McAfee, các giải pháp bảo vệ điểm cuối và mạng có thể phát hiện hành vi tải xuống độc hại cũng như chặn các tên miền C2 đã biết. Hãng nhận diện mối đe dọa này dưới tên CryptoStealer.NE, có khả năng chặn trình cài đặt và ngăn kết nối tới hạ tầng điều khiển.
Đối với các chuyên gia bảo mật, McAfee khuyến nghị giám sát những dấu hiệu như việc chỉnh sửa trái phép tệp Chromium Secure Preferences, sự thay đổi bất thường của các giá trị MAC trên trình duyệt và các cuộc gọi RPC bất thường tới các nút blockchain công khai có liên quan đến kỹ thuật EtherHiding nhằm phân giải máy chủ C2.
Các chỉ báo xâm nhập (IOC) được McAfee công bố gồm các giá trị SHA-256 của trình cài đặt .NET và Golang, URL phát tán tải trọng hxxps://google-services[.]cc/base[.]zip, các tên miền điều khiển devops-offensive[.]cc và Zebregts[.]com, nhiều địa chỉ ví Bitcoin của kẻ tấn công, các tệp Secure Preferences của Chrome, Edge, Brave và Opera bị nhắm mục tiêu cùng các tệp thành phần của tiện ích mở rộng như manifest.json, crypto-patterns.js, Interceptor.js, content-script.js, cache.js, domain-resolver.js, service-worker.js và api-client.js.
McAfee lưu ý rằng các địa chỉ IP và tên miền trong IOC đã được cố ý vô hiệu hóa bằng ký hiệu [.] nhằm ngăn việc phân giải hoặc tạo liên kết ngoài ý muốn. Chúng chỉ nên được khôi phục trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM.
Phần mềm độc hại được phát tán thông qua các trình cài đặt không có chữ ký, xuất hiện dưới cả hai phiên bản .NET và Golang. Để đánh lừa người dùng, nó ngụy trang thành một tiện ích mở rộng trình duyệt tối giản giống "Google Notes".
Tiện ích độc hại can thiệp trực tiếp vào giao dịch tiền điện tử
Sau khi được cài đặt, tiện ích mở rộng hoạt động như một công cụ theo dõi clipboard thông minh. Nó giám sát mọi thao tác sao chép và dán, nhận diện địa chỉ ví của nhiều blockchain khác nhau rồi thay thế địa chỉ ví của nạn nhân bằng địa chỉ do kẻ tấn công kiểm soát ngay trước khi nội dung được dán. Hậu quả là các giao dịch được chuyển sai địa chỉ, gây thiệt hại tài chính gần như không thể khôi phục.Trình cài đặt đầu tiên lạm dụng cơ chế bảo mật của Chromium. Thay vì cài đặt thông qua các cửa hàng tiện ích mở rộng chính thức, nó tìm kiếm hồ sơ người dùng trên Chrome, Edge, Brave cùng các trình duyệt Chromium khác, buộc đóng toàn bộ tiến trình trình duyệt rồi trực tiếp chỉnh sửa các tệp Secure Preferences và Preferences để đăng ký tiện ích mở rộng.
Để vượt qua cơ chế kiểm tra tính toàn vẹn, phần mềm độc hại tính toán lại và ghi các giá trị xác minh MAC/HMAC (super_mac/mac) bằng cách sử dụng các định danh riêng của hệ thống, chẳng hạn SID của máy cùng một chuỗi ký tự ban đầu.
Trên các phiên bản Chromium cũ, thủ thuật này cho phép tiện ích mở rộng được tải âm thầm. Với các trình duyệt đã cập nhật, kẻ tấn công chuyển sang sử dụng kỹ thuật xã hội hoặc kích hoạt chế độ nhà phát triển và cài đặt tiện ích chưa đóng gói bằng lập trình để duy trì hoạt động. Sau khi hoàn tất quá trình cài đặt, trình cài đặt sẽ tự xóa nhằm giảm thiểu dấu vết trên hệ thống.
Phần mở rộng độc hại là trọng tâm của chiến dịch này (Nguồn: McAfee).
Một điểm đáng chú ý khác là tiện ích mở rộng không sử dụng máy chủ điều khiển (C2) được mã hóa cứng. Thay vào đó, nó truy vấn một điểm cuối RPC công khai trên blockchain rồi gọi phương thức chỉ đọc của một hợp đồng thông minh.
Hợp đồng này trả về chuỗi dữ liệu đã được mã hóa. Trong quá trình chạy, tiện ích sẽ giải mã chuỗi để lấy tên miền C2 đang hoạt động. McAfee quan sát thấy các tên miền như devops-offensive[.]cc và Zebregts[.]com.
Tóm lại, cách thức hoạt động của tiện ích mở rộng này như sau (Nguồn: McAfee).
Cách tiếp cận này được gọi là EtherHiding, cho phép kẻ vận hành thay đổi hạ tầng điều khiển chỉ bằng cách cập nhật dữ liệu trên blockchain, khiến việc phát hiện và triệt phá trở nên khó khăn hơn vì phần mềm độc hại không chứa các chỉ báo C2 cố định.
McAfee khuyến nghị nhiều lớp bảo vệ để giảm rủi ro
Tiện ích mở rộng yêu cầu các quyền truy cập rất lớn, bao gồm quyền truy cập mọi URL, lịch sử duyệt web và đọc/ghi dữ liệu clipboard. Logic độc hại được phân tách giữa các tập lệnh nội dung và tiến trình dịch vụ nền.Các tập lệnh nội dung theo dõi sự kiện sao chép, sử dụng các biểu thức chính quy để phát hiện địa chỉ ví của Bitcoin, Ethereum, Bitcoin Cash, Ripple, Dash và Solana.
Khi phát hiện địa chỉ ví, tiện ích sẽ gửi dữ liệu tới máy chủ của kẻ tấn công thông qua khóa API được nhúng sẵn. Máy chủ sẽ trả về địa chỉ ví thay thế, sau đó ghi đè trực tiếp lên clipboard.
Qua quá trình tái dựng hệ thống phụ trợ, McAfee xác định các blockchain BTC, ETH, BCH, XRP và DASH đều sử dụng cơ chế ánh xạ một-một giữa địa chỉ của nạn nhân và địa chỉ của kẻ tấn công. Riêng Solana lại sử dụng một địa chỉ nhận cố định duy nhất.
Dữ liệu hoạt động cho thấy chiến dịch diễn ra trên phạm vi toàn cầu, tập trung nhiều tại Ấn Độ, cho thấy đây là hoạt động nhắm mục tiêu mang tính cơ hội đối với người dùng tiền điện tử hơn là chiến dịch giới hạn theo khu vực.
URL RPC kết nối tới một nút blockchain công khai được sử dụng để tự động phân giải thông tin máy chủ điều khiển, giúp che giấu hạ tầng phía sau các hệ thống phi tập trung.
Trình cài đặt cũng nhúng sẵn các tệp cấu hình JSON, bao gồm khóa API, tệp manifest của tiện ích, địa chỉ ví mục tiêu và điểm cuối RPC ngay bên trong tệp nhị phân. Sau đó, nó tải gói tiện ích đã nén từ hxxps://google-services[.]cc/base[.]zip, cho phép triển khai theo từng giai đoạn mà không cần tải cấu hình ban đầu từ bên ngoài.
Phân giải tên miền C2 của kẻ tấn công thông qua hợp đồng thông minh Ethereum (Nguồn: McAfee).
McAfee khuyến nghị người dùng chỉ cài đặt tiện ích mở rộng từ các cửa hàng chính thức, kiểm tra kỹ các quyền truy cập bất thường, đặc biệt với các ứng dụng ghi chú nhưng lại yêu cầu quyền truy cập clipboard hoặc toàn bộ URL. Trước khi gửi tiền điện tử, người dùng nên kiểm tra sáu ký tự đầu và sáu ký tự cuối của địa chỉ ví trên một thiết bị riêng biệt, đồng thời tránh chạy các trình cài đặt không có chữ ký từ nguồn không đáng tin cậy.
Theo McAfee, các giải pháp bảo vệ điểm cuối và mạng có thể phát hiện hành vi tải xuống độc hại cũng như chặn các tên miền C2 đã biết. Hãng nhận diện mối đe dọa này dưới tên CryptoStealer.NE, có khả năng chặn trình cài đặt và ngăn kết nối tới hạ tầng điều khiển.
Đối với các chuyên gia bảo mật, McAfee khuyến nghị giám sát những dấu hiệu như việc chỉnh sửa trái phép tệp Chromium Secure Preferences, sự thay đổi bất thường của các giá trị MAC trên trình duyệt và các cuộc gọi RPC bất thường tới các nút blockchain công khai có liên quan đến kỹ thuật EtherHiding nhằm phân giải máy chủ C2.
Các chỉ báo xâm nhập (IOC) được McAfee công bố gồm các giá trị SHA-256 của trình cài đặt .NET và Golang, URL phát tán tải trọng hxxps://google-services[.]cc/base[.]zip, các tên miền điều khiển devops-offensive[.]cc và Zebregts[.]com, nhiều địa chỉ ví Bitcoin của kẻ tấn công, các tệp Secure Preferences của Chrome, Edge, Brave và Opera bị nhắm mục tiêu cùng các tệp thành phần của tiện ích mở rộng như manifest.json, crypto-patterns.js, Interceptor.js, content-script.js, cache.js, domain-resolver.js, service-worker.js và api-client.js.
McAfee lưu ý rằng các địa chỉ IP và tên miền trong IOC đã được cố ý vô hiệu hóa bằng ký hiệu [.] nhằm ngăn việc phân giải hoặc tạo liên kết ngoài ý muốn. Chúng chỉ nên được khôi phục trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview