Chiến dịch tấn công mạng tinh vi: Hơn 40 tiện ích mở rộng Chrome giả mạo thương hiệu lớn để đánh cắp dữ liệu người dùng
Ngày càng có nhiều mối đe dọa rình rập trên không gian mạng, và lần này, kẻ xấu đang tận dụng chính lòng tin của người dùng đối với các thương hiệu uy tín để phát động một chiến dịch tấn công quy mô lớn ngay trên trình duyệt Chrome.
Các nhà nghiên cứu an ninh mạng vừa phanh phui một chiến dịch tinh vi liên quan đến hơn 40 tiện ích mở rộng độc hại trên Google Chrome, được ngụy trang dưới vỏ bọc là các thương hiệu nổi tiếng nhằm đánh cắp dữ liệu nhạy cảm của người dùng. Đáng lo ngại, nhiều tiện ích trong số này hiện vẫn còn tồn tại và hoạt động trên Cửa hàng Chrome chính thức.
Chiến dịch này được đánh giá là một bước leo thang nghiêm trọng trong các hình thức tấn công dựa trên trình duyệt, khi không chỉ nhắm vào người dùng cá nhân mà còn len lỏi vào các môi trường doanh nghiệp – nơi lưu giữ khối lượng lớn thông tin chiến lược.
Theo các chuyên gia từ công ty an ninh mạng LayerX, những tiện ích độc hại này được thiết kế vô cùng tinh vi, mô phỏng giao diện và chức năng của các công cụ phổ biến như Fortinet/FortiVPN, DeepSeek AI, Calendly, các công cụ hỗ trợ YouTube và nhiều tiện ích liên quan đến tiền điện tử. Kẻ tấn công lợi dụng hình ảnh thương hiệu quen thuộc để làm mờ mắt người dùng, khiến họ tin tưởng cài đặt mà không hề nghi ngờ.
Phát hiện này được mở rộng từ báo cáo ban đầu của nhóm Tình báo DomainTools, đơn vị đã theo dõi hoạt động của một số tên miền đáng ngờ có liên hệ với các tiện ích trình duyệt. Từ đó, nhóm nghiên cứu của LayerX tiến hành phân tích chuyên sâu và vạch trần toàn bộ hệ thống: từ danh sách tiện ích cụ thể, dữ liệu siêu thông tin (metadata) cho đến hành vi vận hành ngầm.
Chiến dịch cho thấy mức độ nguy hiểm ngày càng gia tăng của các mối đe dọa trực tiếp trong trình duyệt – một môi trường mà người dùng thường tin tưởng là an toàn. Đây là lời cảnh tỉnh nghiêm túc dành cho cả cá nhân và doanh nghiệp về sự cần thiết của việc kiểm tra kỹ lưỡng các tiện ích trước khi cài đặt, cũng như tăng cường các lớp bảo vệ trên trình duyệt và hệ thống mạng nội bộ.
Chiến dịch tấn công trình duyệt phức tạp: Kẻ xấu sử dụng AI và kỹ thuật mạo danh để mở rộng quy mô đánh cắp dữ liệu
Cuộc điều tra mới đây không chỉ vạch trần danh sách hơn 40 tiện ích mở rộng độc hại trên trình duyệt Chrome mà còn hé lộ hàng loạt chi tiết kỹ thuật cho thấy đây là một chiến dịch tấn công có tổ chức, được thực hiện với độ tinh vi đáng kinh ngạc.
Các nhà nghiên cứu bảo mật đã xác định được các ID tiện ích cụ thể, thông tin nhà phát hành, và đặc điểm hành vi của từng tiện ích – tất cả đều cho thấy dấu hiệu rõ ràng của một mạng lưới tác nhân đe dọa có tổ chức và hoạt động bài bản.
Chiến dịch này không chỉ dừng lại ở việc giả mạo thương hiệu mà còn được đẩy lên một cấp độ hoàn toàn mới, khi các tác nhân đứng sau đã đăng ký những tên miền gần giống với các dịch vụ nổi tiếng để đánh lừa người dùng. Một số ví dụ điển hình bao gồm calendlydaily[.]world và calendly-director[.]com nhằm bắt chước nền tảng lập lịch hẹn Calendly, hay deepseek-ai[.]link để giả mạo một nền tảng AI phổ biến.
Mỗi tiện ích mở rộng giả mạo đều được thiết kế với vẻ ngoài chuyên nghiệp, đi kèm địa chỉ email hỗ trợ theo định dạng tiêu chuẩn như support@, nhằm tạo sự tin tưởng cho người dùng và hợp thức hóa chiến dịch lừa đảo.
Hạ tầng tiện ích sử dụng AI và cơ chế duy trì hoạt động lâu dài
Phân tích kỹ thuật cho thấy một yếu tố đặc biệt đáng chú ý: các tiện ích độc hại này sử dụng nội dung do AI tạo ra cho trang giới thiệu trên Cửa hàng Chrome. Tất cả đều có cấu trúc, cách trình bày và ngôn ngữ gần như giống hệt nhau — một dấu hiệu rõ ràng của việc tự động hóa quy trình tạo nội dung và nhân rộng hàng loạt các tiện ích giả mạo trong thời gian ngắn.
Không chỉ tạo được vỏ bọc chuyên nghiệp, các tiện ích còn được cài cắm các cơ chế nhằm duy trì hoạt động dai dẳng trong hệ thống nạn nhân. Chúng không dễ bị phát hiện và có khả năng lẩn tránh qua nhiều lớp kiểm tra thông thường, tạo ra mối nguy hại lâu dài nếu không được xử lý kịp thời.
Tổng thể, chiến dịch này là minh chứng rõ ràng cho sự phát triển nhanh chóng và tinh vi của các phương thức tấn công mạng hiện đại, đặc biệt là những cuộc tấn công tận dụng trình duyệt và lòng tin của người dùng đối với các thương hiệu quen thuộc. Đây là lời cảnh tỉnh về sự cần thiết của việc tăng cường kiểm soát bảo mật trên trình duyệt, cập nhật hệ thống phát hiện mối đe dọa, và thận trọng hơn trong việc cài đặt các tiện ích mở rộng – dù chúng có vẻ ngoài đáng tin đến đâu.
Chiến dịch tấn công trình duyệt Chrome được các chuyên gia an ninh mạng phát hiện cho thấy mức độ tinh vi đáng báo động khi các tác nhân đe dọa không chỉ dừng lại ở việc mạo danh thương hiệu, mà còn triển khai một hệ thống tiện ích mở rộng hoàn toàn tự động để duy trì hiệu quả và quy mô tấn công. Nhờ sử dụng quy trình tự động hóa, những đối tượng này có thể phát tán hàng chục tiện ích giả mạo với tên mã hóa khó nhận diện như “ccollcihnnpcbjcgcjfmabegkpbehnip” (giả mạo FortiVPN) và “jmpcodajbcpgkebjipbmjdoboehfiddd” (giả mạo DeepSeek AI Chat), khiến người dùng gần như không thể phát hiện ra dấu hiệu bất thường trong quá trình cài đặt.
Điểm đặc biệt nguy hiểm của các tiện ích độc hại này là chúng yêu cầu quyền truy cập nâng cao vào trình duyệt. Một khi đã được cài đặt, chúng thiết lập quyền truy cập liên tục vào các phiên duyệt web, cho phép thực hiện những hành vi đánh cắp dữ liệu tinh vi như thu thập cookie, chèn mã độc vào trang web (script injection) và giả mạo phiên đăng nhập để chiếm quyền kiểm soát các tài khoản hoặc hệ thống nội bộ.
Mặc dù sau khi bị phát hiện, một số tiện ích đã bị xóa khỏi Chrome Web Store, nhưng trên thực tế, chúng vẫn tiếp tục tồn tại và hoạt động âm thầm trên các trình duyệt đã bị nhiễm. Chỉ khi người dùng chủ động gỡ bỏ chúng một cách thủ công, mối đe dọa mới được loại trừ hoàn toàn. Điều này tạo ra rủi ro bảo mật kéo dài, đặc biệt là với các tổ chức và cá nhân không nhận thức được rằng hệ thống của họ đang bị xâm phạm.
Với khả năng tự động hóa, ngụy trang tinh vi và cơ chế ẩn mình hiệu quả, chiến dịch này đang được đánh giá là một trong những mối đe dọa trình duyệt đáng lo ngại nhất hiện nay. Sự việc là lời cảnh báo nghiêm túc cho cộng đồng người dùng và các doanh nghiệp về tầm quan trọng của việc kiểm tra kỹ lưỡng nguồn gốc và quyền truy cập của mọi tiện ích mở rộng, ngay cả khi chúng xuất hiện trên nền tảng chính thức như Chrome Web Store.
