Hai extension Google Chrome âm thầm đánh cắp thông tin đăng nhập hơn 170 website

Hai extension độc hại trên Google Chrome có cùng tên Phantom Shuttle và từ cùng một nhà phát triển.

Phantom Shuttle có khả năng chặn luồng truy cập và thu thập thông tin đăng nhập của người dùng. Chúng được quảng cáo là “plugin kiểm tra tốc độ mạng đa vị trí” dành cho các nhà phát triển và nhân viên thương mại quốc tế. Tại thời điểm viết bài, cả hai extension này vẫn có thể tải về.

Hai extension cùng tên Phantom Shuttle âm thầm đánh cắp thông tin đăng nhập từ hơn 170 website của người dùng – Ảnh chụp màn hình

“Người dùng trả phí đăng ký từ 9,9 đến 95,9 nhân dân tệ (tương đương 1,40 đến 13,50 USD), tin rằng họ đang mua một dịch vụ VPN (mạng riêng ảo) hợp pháp. Tuy nhiên, cả hai biến thể đều thực hiện các hoạt động độc hại giống hệt nhau”, Kush Pandya, nhà nghiên cứu của hãng an ninh mạng Socket Security (Mỹ), cho biết.

“Đằng sau lớp vỏ đăng ký trả phí, hai extension này thực hiện chặn toàn bộ lưu lượng truy cập thông qua việc chèn thông tin xác thực, hoạt động như proxy tấn công trung gian và liên tục tuồn dữ liệu người dùng về máy chủ C2 của kẻ tấn công”, Kush Pandya thông báo.

Proxy là máy chủ trung gian đứng giữa người dùng và internet. Khi bạn truy cập một website hoặc dịch vụ trực tuyến thông qua proxy, tất cả yêu cầu và dữ liệu đi qua máy chủ này trước khi đến đích cuối cùng.

Máy chủ C2 (Command and Control, hay chỉ huy và điều khiển) do kẻ tấn công kiểm soát, dùng để nhận dữ liệu đánh cắp và gửi lệnh điều khiển cho mã độc hoặc hệ thống bị xâm nhập.

Socket Security là công ty Mỹ chuyên về an ninh mạng, tập trung vào việc nghiên cứu và phát hiện các lỗ hổng bảo mật, phần mềm độc hại, tấn công mạng, cũng như các rủi ro liên quan đến cơ sở hạ tầng CNTT. Họ thường tiến hành phân tích chuyên sâu các mối đe dọa, gồm phần mềm độc hại trên trình duyệt, ứng dụng di động, chuỗi cung ứng và các chiến dịch tấn công mạng có tổ chức.

Sau khi người dùng nhẹ dạ thanh toán, họ sẽ được gán trạng thái VIP và Phantom Shuttle tự động bật chế độ proxy “thông minh”. Chế độ này định tuyến lưu lượng truy cập từ hơn 170 tên miền mục tiêu thông qua cơ sở hạ tầng máy chủ C2.

Chặn lưu lượng mạng và đánh cắp thông tin đăng nhập

Phantom Shuttle vẫn hoạt động đúng như quảng cáo nhằm duy trì ảo giác về một sản phẩm hợp pháp. Chúng thực hiện kiểm tra độ trễ thực sự trên các máy chủ proxy và hiển thị trạng thái kết nối, trong khi che giấu mục tiêu chính là chặn lưu lượng mạng và đánh cắp thông tin đăng nhập.

Cơ chế này liên quan đến các chỉnh sửa độc hại được chèn vào hai thư viện JavaScript đi kèm Phantom Shuttle, gồm jquery-1.12.2.min.js và scripts.js. Đoạn mã được thiết kế để tự động chèn thông tin đăng nhập proxy được mã hóa cứng (viết sẵn trực tiếp trong mã nguồn, không do người dùng nhập và rất khó thay đổi) vào mọi yêu cầu xác thực HTTP trên tất cả website, thông qua việc đăng ký một trình nghe trên chrome.webRequest.onAuthRequired.

Trong lập trình, đặc biệt là phát triển web hoặc ứng dụng, trình nghe (listener) là đoạn mã hoặc hàm được thiết lập để lắng nghe một sự kiện cụ thể và thực hiện hành động khi sự kiện đó xảy ra.

chrome.webRequest.onAuthRequired là API trong extension Google Chrome dùng để lắng nghe các yêu cầu xác thực HTTP mà trình duyệt gửi tới máy chủ hoặc proxy.

“Khi một website hoặc dịch vụ nào yêu cầu người dùng nhập thông tin xác thực, trình nghe này sẽ được kích hoạt trước khi trình duyệt hiển thị hộp thoại nhập thông tin cho người dùng. Phantom Shuttle ngay lập tức phản hồi bằng thông tin xác thực proxy đã được mã hóa cứng, hoàn toàn không để người dùng hay biết. Chế độ asyncBlocking đảm bảo việc chèn thông tin xác thực diễn ra đồng bộ, ngăn chặn mọi tương tác của người dùng”, Kush Pandya giải thích.

asyncBlocking làchế độ của trình nghe dùng trong API chrome.webRequest. Nó kiểm soát cách trình nghe xử lý các sự kiện một cách đồng bộ trong khi vẫn hỗ trợ thực thi bất đồng bộ.

Sau khi người dùng xác thực với máy chủ proxy, Phantom Shuttle sẽ cấu hình cài đặt proxy của Chrome bằng một kịch bản Proxy Auto-Configuration (PAC), triển khai ba chế độ:

Close: Vô hiệu hóa tính năng proxy.

Always: Định tuyến toàn bộ lưu lượng web qua proxy.

Smarty : Định tuyến danh sách hơn 170 tên miền có giá trị cao đã được mã hóa cứng qua proxy.

Proxy Auto-Configuration là một file cấu hình được trình duyệt sử dụng để tự động xác định proxy phù hợp cho từng yêu cầu web.

Nói cách khác, khi chế độ VIP được kích hoạt, Phantom Shuttle có thể thu thập mật khẩu, số thẻ tín dụng, cookie xác thực, lịch sử duyệt web, dữ liệu biểu mẫu, khóa API và mã thông báo truy cập từ người dùng khi họ vào các tên miền mục tiêu. Nghiêm trọng hơn, việc đánh cắp các bí mật của lập trình viên có thể mở đường cho những cuộc tấn công chuỗi cung ứng.

Danh sách tên miền bị nhắm tới gồm nền tảng dành cho lập trình viên (GitHub, Stack Overflow, Docker), dịch vụ đám mây (Amazon Web Services, Digital Ocean, Microsoft Azure), giải pháp doanh nghiệp (Cisco, IBM, VMware), mạng xã hội (Facebook, Instagram, Twitter) và cả các trang có nội dung khiêu dâm. Theo Socket Security, việc đưa các trang khiêu dâm vào danh sách có thể nhằm mục đích tống tiền nạn nhân.

Ch iến dịch kéo dài 8 năm nghi bắt nguồn từ Trung Quốc

Hiện chưa rõ ai đứng sau chiến dịch kéo dài 8 năm này. Tuy nhiên, việc sử dụng tiếng Trung trong phần mô tả extension, tích hợp Alipay và WeChat Pay để thanh toán, cùng việc dùng Alibaba Cloud để lưu trữ tên miền C2, cho thấy nhiều khả năng đây là chiến dịch bắt nguồn từ Trung Quốc.

“Mô hình đăng ký trả phí giúp giữ chân nạn nhân đồng thời tạo doanh thu, còn hạ tầng chuyên nghiệp tích hợp thanh toán tạo ra vỏ bọc hợp pháp. Người dùng tin rằng đang mua một dịch vụ VPN, trong khi vô tình tạo điều kiện cho việc xâm phạm hoàn toàn lưu lượng truy cập của mình”, Socket Security nhận định.

Hệ quả cuối cùng là lưu lượng web của người dùng bị định tuyến qua các proxy do kẻ tấn công kiểm soát, trong khi Phantom Shuttle cứ mỗi 60 giây gửi một tín hiệu kiểm tra trạng thái tới máy chủ C2 tại phantomshuttle[.]space, tên miền hiện vẫn hoạt động. Điều này cũng cho phép kẻ tấn công đặt mình ở vị trí trung gian để thu thập dữ liệu, thao túng phản hồi và chèn các đoạn mã tùy ý.

Đáng lo ngại hơn, tín hiệu kiểm tra trạng thái còn truyền email, mật khẩu dạng văn bản thuần và số phiên bản của người dùng VIP tới một máy chủ bên ngoài thông qua yêu cầu HTTP GET cứ mỗi 5 phút, để liên tục đánh cắp thông tin đăng nhập và giám sát phiên làm việc.

HTTP GET là phương thức trong giao thức HTTP dùng để yêu cầu dữ liệu từ một máy chủ web.

Những phát hiện đó cho thấy các extension cho trình duyệt đang trở thành lớp rủi ro khó kiểm soát với doanh nghiệp. Người dùng đã cài đặt Phantom Shuttle được khuyến cáo nên gỡ bỏ càng sớm càng tốt.

Với các đội ngũ an ninh, điều cần thiết là triển khai danh sách extension được cho phép, giám sát extension vừa có hệ thống thu tiền đăng ký (subscription) vừa có quyền truy cập hoặc điều khiển proxy, thực hiện giám sát mạng để phát hiện các nỗ lực xác thực proxy đáng ngờ.

Người dùng Apple, Facebook, Google và nhiều dịch vụ khác cần đổi mật khẩu gấpVụ vi phạm dữ liệu nghiêm trọng đã làm lộ 16 tỷ mật khẩu và thông tin đăng nhập từ các tài khoản của Apple, Facebook, Google và nhiều dịch vụ khác. Không chỉ mật khẩu các dịch vụ trực tuyến như Apple hay Google mà cả những dịch vụ của chính phủ cũng bị ảnh hưởng bởi vụ vi phạm này. Đây...