Một tiện ích trên Chrome có thể đánh cắp mật khẩu và thông tin tín dụng của bạn: Cần làm gì?

Sự nguy hiểm của Cloud9

Các tiện ích mở rộng trình duyệt có thể bổ sung thêm chức năng mới để giúp giúp bạn làm được nhiều việc hơn trên Google Chrome, Microsoft Edge và các trình duyệt web dựa trên nền tảng Chromium. Tuy nhiên, chúng cũng có thể được sử dụng như một phương tiện để chiếm quyền điều khiển PC của bạn hoặc thậm chí để lây nhiễm phần mềm độc hại.

Theo báo cáo của BleepingComputer, một mạng bonet mới [Botnet là mạng lưới máy tính đã bị nhiễm phần mềm độc hại và nằm dưới sự kiểm soát của một tác nhân độc hại] có tên Cloud9 đã được các chuyên viên phân tích tại Zimperium phát hiện.

Mạng bonet này sử dụng tiện ích mở rộng độc hại để ghi lại các thao tác gõ phím, đánh cắp mật khẩu, chèn quảng cáo và lây nhiễm phần mềm độc hại cho các máy tính dễ bị tấn công. Các trình duyệt đang cài đặt tiện ích mở rộng độc hại thậm chí có thể được sử dụng để khởi chạy những cuộc tấn công DDoS.

Tiện ích mở rộng trình duyệt Cloud9 hoạt động giống như một phần mềm độc hại truy cập từ xa (Remote Access Trojan) và tin tặc có thể thông qua nó để thực hiện các lệnh từ xa trong trình duyệt của nạn nhân, sau khi nó được thêm vào Chrome hoặc Microsoft Edge.

Cloud9 được phân phối qua các chương trình giả mạo

Không giống như các tiện ích mở rộng khác trên Google Chrome, bạn sẽ không tìm thấy Cloud9 trên cửa hàng Chrome trực tuyến vì tiện ích mở rộng độc hại này sẽ dễ dàng bị nhóm bảo mật của Google phát hiện và ngăn chặn. Thay vào đó, tin tặc đang sử dụng một số chiến thuật phổ biến nhất của họ để đánh lừa người dùng tự cài đặt nó.

Trong một bài đăng nêu chi tiết những phát hiện của các nhà nghiên cứu bảo mật, Zimperium giải thích rằng các phương pháp phân phối phổ biến nhất cho Cloud9 là "các tệp giả và các trang web độc hại được ngụy trang dưới dạng bản cập nhật Adobe Flash Player".

Những tệp giả này có thể là phần mềm vi phạm bản quyền mà các nạn nhân tải xuống để tránh phải trả tiền cho phiên bản hợp pháp. Ngay cả khi Adobe Flash Player đã ngừng hoạt động, các trang web giả mạo vẫn sử dụng bản cập nhật giả để lừa người dùng tải xuống phần mềm độc hại [hay như trong trường hợp này là tiện ích mở rộng độc hại].

Khai thác lỗ hổng để lây nhiễm phần mềm độc hại

Sau khi được cài đặt trong Chrome hoặc Microsoft Edge, Cloud9 sử dụng ba tệp JavaScript để thu thập thông tin hệ thống, khai thác tiền điện tử bằng cách sử dụng PC bị nhiễm độc và thực hiện các cuộc tấn công DDoS.

Tiện ích mở rộng độc hại này cũng có thể truyền nhiễm phần mềm độc hại vào máy tính của bạn bằng cách khai thác các lỗ hổng phổ biến trong Microsoft Edge và thậm chí cả Internet Explorer.

Sau khi phần mềm độc hại đã được cài đặt trên hệ thống chạy Cloud9, các tin tặc đứng sau nó có thể ghi lại các lần bấm bàn phím để lấy cắp mật khẩu mà bạn đăng nhập trên máy tính. Ngoài ra, tiện ích mở rộng này còn có một module giám sát khay nhớ tạm thời của hệ thống để tìm kiếm các mật khẩu hoặc thông tin thẻ tín dụng được lưu trữ.

Cloud9 thậm chí có thể chèn quảng cáo bằng cách tự động mở ra nhiều website trên máy tính của bạn để mang lại doanh thu cho những kẻ tạo ra nó. Nếu PC của bạn đã cài đặt tiện ích mở rộng độc hại này, bạn có thể nhận thấy máy tính của mình đang chạy chậm hơn bình thường. Đây có thể là dấu hiệu cho thấy hệ thống của bạn đang được sử dụng để thực hiện các cuộc tấn công DDoS.

Các nhà nghiên cứu của Zimperium cho biết, Cloud9 đang được quảng cáo rầm rộ trên các diễn đàn về hack. Tiện ích mở rộng độc hại này có thể được các tội phạm mạng sử dụng để thực hiện những cuộc tấn công riêng của chúng.

Làm thế nào để giữ an toàn?

Cách đơn giản nhất để tránh các tiện ích mở rộng độc hại là đảm bảo bạn chỉ tải xuống các tiện ích mở rộng từ 'cửa hàng Chrome trực tuyến' dành cho Google Chrome hoặc từ 'cửa hàng tiện ích bổ sung' dành cho Microsoft Edge. Tuy nhiên, các tiện ích mở rộng không hợp lệ vẫn có thể vượt qua Google và Microsoft theo thời gian, đó là lý do tại sao bạn nên cài đặt phần mềm chống virus tốt nhất trên PC của mình.

Cũng giống như các ứng dụng dành cho điện thoại thông minh, bạn phải luôn tự hỏi mình có thực sự cần tiện ích mở rộng này hay không, trước khi cài đặt nó. Nếu bạn cảm thấy một thứ gì đó có vẻ "tốt tới mức khó tin" hoặc mang lại cho bạn quyền truy cập miễn phí vào một dịch vụ trả phí thì khả năng cao đó có thể là thứ độc hại.

Tin tặc và tội phạm mạng thường tạo ra tiện ích mở rộng giả mạo như một cách để xâm nhập vào PC của bạn. Đó là lý do tại sao bạn phải cẩn thận khi cài đặt bất kỳ tiện ích mở rộng mới nào.

Trong tuyên bố mới nhất, người phát ngôn của Google cũng khuyến cáo khách hàng nên đảm bảo cài đặt phiên bản Chrome mới nhất trên thiết bị của mình bởi nó sẽ mang lại cho bạn "các biện pháp bảo mật cập nhật mới nhất". Điều này cũng áp dụng với Microsoft Edge và bất cứ trình duyệt nào khác dựa trên nền tảng Chromium như Opera, Vivaldi và Brave.

Để được bảo vệ thêm trên Google Chrome, bạn cũng có thể bật tính năng bảo vệ nâng cao trong cài đặt bảo mật và quyền riêng tư của trình duyệt. Điều này sẽ giúp bạn được bảo vệ khỏi các tệp độc hại, đồng thời cảnh báo bạn về các lần tải xuống rủi ro.