Việc cài đặt các tiện ích mở rộng (extension) cho trình duyệt tưởng chừng vô hại, nhưng thực tế lại tiềm ẩn rủi ro khôn lường. Mới đây, một người dùng Chrome khi cố tải trình chặn quảng cáo đã vô tình cài phải một tiện ích giả mạo có tên NexShield. Thay vì chặn quảng cáo, nó đã 'phá hoại' máy tính trước khi tung ra đòn kết liễu bằng mã độc.
Tiện ích Chrome biến máy tính thành 'cục gạch' rồi cài cắm mã độc
Theo báo cáo từ BleepingComputer, NexShield được quảng cáo là một trình chặn quảng cáo ưu tiên quyền riêng tư, hiệu suất cao và nhẹ nhàng. Để tạo lòng tin, nhóm tội phạm mạng đứng sau nó thậm chí đã mạo danh Raymond Hill - nhà phát triển nổi tiếng của tiện ích uBlock Origin - làm tác giả.
Mã độc mạo danh tiện ích mở rộng tấn công người dùng Chrome và Edge
ẢNH: CHỤP MÀN HÌNH CYBER INSIDER
Tuy nhiên, NexShield thực chất là một cái bẫy. Các nhà nghiên cứu bảo mật từ Huntress phát hiện ra rằng tiện ích này thực hiện một cuộc tấn công từ chối dịch vụ (DoS) ngay trên trình duyệt Chrome. Nó tạo ra vô số kết nối cổng chrome.runtime trong một vòng lặp vô tận, khiến bộ nhớ máy tính bị vắt kiệt.
Đối với người dùng Chrome hoặc Edge, dấu hiệu nhận biết là các tab bị đóng băng, CPU và RAM tăng đột biến, và trình duyệt không phản hồi. Kịch bản tấn công diễn ra như sau:
- Gây sự cố: Sau khi làm trình duyệt bị treo và người dùng buộc phải khởi động lại, NexShield hiện lên một cửa sổ bật lên (pop-up) cảnh báo giả, đề nghị quét PC để tìm lỗi.
- Dụ dỗ: Khi bấm nút 'Run Scan', một cảnh báo bảo mật giả khác hiện ra kèm hướng dẫn sửa lỗi.
- Tấn công ClickFix: Hướng dẫn này yêu cầu người dùng sao chép một đoạn lệnh và dán vào cửa sổ dòng lệnh (PowerShell/CMD).
Các chuyên gia gọi đây là kỹ thuật CrashFix - một biến thể của tấn công ClickFix. Bằng cách copy-paste lệnh này, người dùng thực chất đang làm thay việc cho tin tặc, giúp chúng kích hoạt một tập lệnh PowerShell ẩn để tải xuống và thực thi mã độc từ xa.
Điểm tinh vi đáng sợ là NexShield trì hoãn hoạt động độc hại tới 1 tiếng đồng hồ sau khi cài đặt. Điều này khiến nạn nhân bối rối, không biết tại sao máy tính đột nhiên dở chứng, giúp kẻ gian tránh bị phát hiện sớm. Chiến dịch này khả năng cao được kẻ gian nhắm mục tiêu cụ thể vào khối doanh nghiệp.
Hiện tại, Google đã xóa NexShield khỏi Chrome Web Store. Tuy nhiên, vụ việc này là hồi chuông cảnh tỉnh mạnh mẽ. Các tin tặc hiện nay không ngần ngại mua quảng cáo trên Google để đẩy các phần mềm giả mạo lên top tìm kiếm.
Bình luận (0)