Microsoft vừa gỡ bỏ 119 tiện ích mở rộng (extension) trên Edge Add-ons sau khi phát hiện chúng âm thầm đánh cắp thông tin đăng nhập và thực hiện gian lận quảng cáo. Theo hãng, chiến dịch StegoAd đã hoạt động từ năm 2021 và có thể liên quan tới tối đa 2,6 triệu lượt cài đặt.
Điều đáng chú ý là phần lớn các extension này đều mang những chức năng quen thuộc như chặn quảng cáo, VPN, dịch thuật hay tải video, khiến người dùng khó nghi ngờ. Sau khi được cài đặt, mã độc không hoạt động ngay mà có thể “ngủ đông” trong nhiều ngày, chỉ kích hoạt khi vượt qua hàng loạt cơ chế kiểm tra nhằm né tránh hệ thống phát hiện và phân tích bảo mật.
Để che giấu mã độc, nhóm tấn công sử dụng kỹ thuật steganography (giấu dữ liệu trong tệp đa phương tiện), nhúng mã JavaScript vào các tệp hình ảnh và phông chữ như PNG, WebP hay WOFF2. Một số biến thể còn tải dữ liệu từ máy chủ điều khiển, sau đó giải mã nhiều lớp trước khi thực thi, khiến việc phát hiện trở nên khó khăn hơn so với các phương thức phát tán mã độc thông thường.
Theo Microsoft, ngoài hành vi gian lận quảng cáo và chiếm đoạt hoa hồng liên kết trên các sàn thương mại điện tử, nhiều biến thể còn có khả năng đánh cắp tài khoản Google, mã xác thực hai yếu tố (2FA), thông tin quản trị WordPress và cookie phiên đăng nhập, tạo điều kiện để kẻ tấn công chiếm quyền truy cập tài khoản.
Microsoft đã gỡ bỏ toàn bộ 119 extension và đình chỉ hơn 90 tài khoản nhà phát triển liên quan. Hãng khuyến nghị người dùng kiểm tra các extension đã cài đặt, gỡ bỏ những tiện ích nằm trong danh sách bị ảnh hưởng, đồng thời thay đổi mật khẩu và rà soát lịch sử đăng nhập nếu từng sử dụng các extension này.
Từ góc độ an toàn thông tin, vụ việc cho thấy tiện ích mở rộng trình duyệt đang trở thành một bề mặt tấn công đáng chú ý, bởi chúng thường được cấp nhiều quyền truy cập nhưng lại ít được người dùng và doanh nghiệp kiểm soát. Do đó, bên cạnh việc rà soát định kỳ các extension được cài đặt, doanh nghiệp cần tăng cường giám sát hoạt động trên thiết bị đầu cuối và đánh giá an toàn môi trường làm việc để kịp thời phát hiện các dấu hiệu bất thường, giảm thiểu nguy cơ rò rỉ thông tin đăng nhập.
Nguồn: The Hacker News
