Một chiến dịch tấn công mới đã nhắm vào các tiện ích mở rộng phổ biến trên Chrome, dẫn đến ít nhất 16 tiện ích bị xâm nhập và làm lộ dữ liệu cũng như thông tin đăng nhập của hơn 600.000 người dùng.
Cuộc tấn công này sử dụng chiến dịch phishing để nhắm đến các nhà phát hành tiện ích trên Chrome Web Store, tận dụng quyền truy cập của họ để chèn mã độc vào các tiện ích hợp pháp. Mã độc này được thiết kế nhằm đánh cắp cookie và token truy cập của người dùng.
Cyberhaven, công ty an ninh mạng đầu tiên được báo cáo bị ảnh hưởng, cho biết browser extension của họ đã bị một tác nhân đe dọa tấn công, cài mã độc để liên lạc với máy chủ Command and Control (C&C) bên ngoài nằm trên tên miền cyberhavenext[.]pro.
Mã độc này có thể tải về các tệp cấu hình bổ sung để thu thập dữ liệu người dùng và chuyển dữ liệu người dùng ra ngoài, đặc biệt là thông tin từ tài khoản Facebook Ads. Tiện ích này đã bị gỡ sau 24 giờ, nhưng các chuyên gia cảnh báo rủi ro vẫn tồn tại nếu phiên bản bị nhiễm vẫn trên thiết bị người dùng.
Các tiện ích bị nghi ngờ bị xâm nhập bao gồm:
- AI Assistant – ChatGPT and Gemini for Chrome
- Bard AI Chat Extension
- GPT 4 Summary with OpenAI
- Search Copilot AI Assistant for Chrome
- TinaMind AI Assistant
- Wayin AI
- VPNCity
- Internxt VPN
- Vindoz Flex Video Recorder
- VidHelper Video Downloader
- Bookmark Favicon Changer
- Castorus
- Uvoice
- Reader Mode
- Parrot Talks
- Primus
Các nhà nghiên cứu bảo mật vẫn đang tiếp tục tìm kiếm thêm các tiện ích bị tấn công, nhưng phạm vi và độ tinh vi của chiến dịch này đã đặt ra thách thức lớn hơn trong việc bảo mật các tiện ích mở rộng trình duyệt.
