Ghi nhận chiến dịch tấn công APT làm lộ lọt dữ liệu hơn 600.000 người dùng

3 ngày trướcBài gốc

Cảnh báo chiến dịch tấn công APT vào 16 tiện ích trên Chrome

Theo NCSC, các chuyên gia bảo mật gần đây đã ghi nhận một chiến dịch tấn công nhằm vào các tiện ích mở rộng trên trình duyệt Google Chrome, dẫn tới việc ít nhất 16 tiện ích đã bị ảnh hưởng và khiến dữ liệu của hơn 600.000 người dùng bị lộ lọt, đánh cắp.

Chiến dịch này tấn công nhằm vào các nhà phát hành tiện ích trình duyệt trên Chrome Web Store thông qua hình thức phishing và sử dụng quyền truy cập đạt được từ họ để chèn mã độc vào các tiện ích. Mục tiêu là để đánh cắp cookie và token truy cập của người dùng.

Cụ thể, tiện ích bị ảnh hưởng đầu tiên được ghi nhận thuộc sở hữu của hãng bảo mật Cyberhaven, khi một nhân viên của hãng bị lừa và làm mất quyền truy cập vào tay đối tượng tấn công, cho phép đối tượng phát hành phiên bản độc hại của tiện ích vào ngày 24-12-2024. Phiên bản độc hại của tiện ích có khả năng kết nối tới máy chủ C&C, tải file cấu hình và trích xuất dữ liệu người dùng.

Email phishing được đối tượng sử dụng được cho là tới từ “Google Chrome Web Store Developer Support” có mục đích tạo ra vấn đề cấp bách giả tạo cho người nhận bằng cách nói rằng tiện ích của hãng này đang đứng trước nguy cơ bị gỡ bỏ khỏi Web Store do vi phạm chính sách.

Trong email, đối tượng cũng giục người dùng bấm vào đường dẫn độc hại để chấp nhận chính sách mới, khi bấm vào sẽ được điều hướng tới một trang có chức năng cấp quyền tới một ứng dụng Oauth độc hại có tên “Privacy Policy Extension”.

Sau đó, đối tượng tấn công sẽ đạt được quyền truy cập cần thiết để có thể tải lên tiện ích độc hại tới Chrome Web Store.

Một số tiện ích mở rộng khác bị ảnh hưởng gồm có: AI Assistant - ChatGPT and Gemini for Chrome; Bard AI Chat Extension; GPT 4 Summary with OpenAI…

Việc nhiều tiện ích mở rộng bị ảnh hưởng đã chứng minh được quy mô của chiến dịch tấn công này là rất lớn. Theo ý kiến từ một chuyên gia bảo mật, có khả năng chiến dịch này đã diễn ra kể từ ngày 5-4-2023 hoặc thậm chí là lâu hơn khi một domain C&C được sử dụng có ngày đăng kí từ năm 2021.

Các tiện ích mở rộng một khi bị ảnh hưởng sẽ có phương thức thực hiện hành vi độc hại theo hướng riêng, đối với ghi nhận của hãng Cyberhaven, tiện ích độc hại này nhằm vào dữ liệu danh tính, token truy cập của tài khoản Facebook, cụ thể hơn là tài khoản của Facebook Ads.

Hiện các chuyên gia bảo mật vẫn đang tiếp tục quá trình rà quét nhằm phát hiện thêm các tiện ích mở rộng bị ảnh hưởng. Tuy nhiên, tính phức tạp và phạm vi của chiến dịch này là một lời cảnh báo cho các nhà phát triển để họ cải thiện khả năng bảo mật của tiện ích do mình phát hành.

Ngoài ra, tại thời điểm hiện tại vẫn chưa phát hiện được nhóm đối tượng tấn công đằng sau chiến dịch này là ai.

V. Hằng

Nguồn ANTĐ : https://anninhthudo.vn/ghi-nhan-chien-dich-tan-cong-apt-lam-lo-lot-du-lieu-hon-600000-nguoi-dung-post600200.antd