Tiện ích mở rộng trên Chrome The Great Suspender chứa phần mềm độc hại

February 7, 2021

Gần đây, Google đã xóa The Great Suspender, một tiện ích mở rộng phổ biến của Chrome được hàng triệu người dùng sử dụng, khỏi Cửa hàng Chrome trực tuyến do chứa phần mềm độc hại. Google đã trực tiếp vô hiệu hóa tiện ích này khỏi máy tính người dùng.

Trong một thông báo, Google cho biết: “Tiện ích mở rộng này chứa phần mềm độc hại.” Nhà phát triển tiện ích mở rộng đã lén lút bổ sung các tính năng có thể bị lợi dụng để thực thi mã tùy ý từ máy chủ từ xa, bao gồm theo dõi người dùng trực tuyến và thực hiện hành vi gian lận quảng cáo.

Calum McConnell cho biết trong một bài đăng trên GitHub: “Nhà phát triển ban đầu dường như đã bán tiện ích mở rộng cho một nhà phát triển không xác định – bên có ý định lợi dụng người dùng để gian lận quảng cáo, theo dõi và hơn thế nữa”.

Tiện ích mở rộng The Great Suspender có tính năng tạm ngưng các tab không được sử dụng, thay thế chúng bằng một màn hình màu xám trống để tiết kiệm tài nguyên hệ thống, ngăn ngừa trình duyệt Chrome bị crash. Tiện ích có hơn hai triệu lượt cài đặt trước khi bị Google xóa khỏi cửa hàng.

Các dấu hiệu về hành vi mờ ám của tiện ích mở rộng đã xuất hiện từ tháng 11, buộc Microsoft phải chặn tiện ích mở rộng này (phiên bản v7.1.8) trên trình duyệt Edge vào tháng 11 năm ngoái.

Theo The Register, Dean Oemcke, nhà phát triển ban đầu của phần mở rộng, được cho là đã bán phần mở rộng từtháng 6/2020 cho một bên không xác định. Sau đó, hai phiên bản mới của The Great Suspender đã được phát hành trực tiếp cho người dùng thông qua cửa hàng Chrome trực tuyến (phiên bản 7.1.8 và 7.1. 9).

Zdrnja cho biết kẻ tấn công đã tạo ra một tiện ích mở rộng bảo mật độc hại giả mạo là Forcepoint Endpoint Chrome Extension cho Windows, tuy nhiên người dùng cần cài đặt nó trên trình duyệt khi bật chế độ nhà phát triển.

Zdrnja cho biết: “Mặc dù có một số hạn chế về kích thước dữ liệu và số lượng yêu cầu, nhưng mã độc này thực sự hoàn hảo cho các lệnh C&C (thường nhỏ) hoặc để đánh cắp các dữ liệu nhỏ nhưng nhạy cảm – chẳng hạn như mã thông báo xác thực.

Do cuộc tấn công này yêu cầu quyền truy cập vật lý vào hệ thống mục tiêu nên khó có thể được Google giải quyết.

BTV DSH