Xóa ngay tiện ích này nếu bạn không muốn bị đánh cắp thông tin đăng nhập

6 giờ trướcBài gốc

Theo Bleeping Computer, tiện ích mở rộng QuickLens, trước đây cho phép người dùng tìm kiếm hình ảnh trực tiếp trong trình duyệt bằng Google Lens, đã bị chèn mã độc sau khi đổi chủ. Trước đó, công cụ này hoạt động bình thường và có khoảng 7.000 người cài đặt.

QuickLens bị vô hiệu hóa và bị Chrome gắn cờ là phần mềm độc hại. Ảnh: BleepingComputer

Sự cố xảy ra vào ngày 17-2, không lâu sau khi quyền sở hữu tiện ích được chuyển giao cho một bên khác. Phiên bản cập nhật 5.8 được phát hành sau đó đã chứa mã độc. Thay vì chỉ phục vụ tìm kiếm hình ảnh, bản cập nhật mới âm thầm bổ sung các thành phần hỗ trợ kẻ gian tấn công và đánh cắp thông tin.

John Tuckner, nhà sáng lập Annex Security, cho biết đây là ví dụ điển hình của rủi ro trong chuỗi cung ứng tiện ích mở rộng. Một công cụ hợp pháp, được đánh giá cao và hoạt động ổn định có thể trở thành công cụ tấn công chỉ sau một lần chuyển nhượng và cập nhật.

Do Google Chrome mặc định tự động cập nhật tiện ích nên người dùng gần như không nhận ra sự thay đổi. Chỉ cần đã cấp quyền từ trước, bản cập nhật độc hại sẽ tự động được cài đặt.

Theo phân tích, mã độc trong QuickLens có khả năng xóa hoặc thay đổi một số cơ chế bảo mật, thực thi mã từ xa và triển khai hình thức tấn công mang tên ClickFix.

Trong kịch bản này, người dùng sẽ nhận được các thông báo cập nhật Google giả mạo. Khi làm theo hướng dẫn, họ vô tình cung cấp thông tin đăng nhập cho kẻ tấn công. Mục tiêu chính của chiến dịch được cho là tài khoản tiền điện tử và địa chỉ ví.

Đây không phải lần đầu tiện ích mở rộng trên trình duyệt bị lợi dụng. Trước đó, một tiện ích chính thức liên quan đến Trust Wallet cũng từng bị xâm phạm, gây thiệt hại hàng triệu USD tiền điện tử.

Sau khi sự việc được công bố, Google đã gỡ QuickLens khỏi Chrome Web Store và vô hiệu hóa tiện ích này trên trình duyệt. Điều đó đồng nghĩa người dùng hiện tại sẽ không còn bị ảnh hưởng bởi phiên bản độc hại.

Mặc dù vậy, vụ việc cho thấy nguy cơ đến từ các tiện ích mở rộng không chỉ nằm ở thời điểm cài đặt ban đầu mà còn ở các bản cập nhật về sau.

Một tiện ích hợp pháp có thể trở nên độc hại chỉ sau một bản cập nhật. Ảnh minh họa: AI

Các chuyên gia bảo mật khuyến cáo người dùng nên thận trọng với các thông báo cập nhật xuất hiện dưới dạng cửa sổ bật lên hoặc liên kết lạ. Việc cập nhật phần mềm nên thực hiện trực tiếp từ trang chính thức, sử dụng địa chỉ quen thuộc thay vì nhấp vào các thông báo không rõ nguồn gốc.

Để xóa các tiện ích mở rộng không cần thiết, bạn hãy gõ dòng lệnh chrome://extensions/ vào thanh địa chỉ, sau đó nhấn Remove.