Trong khi trình duyệt web đang dần trở thành một màn hình desktop, nơi mà người dùng có thể sử dụng các tiện ích mở rộng của chúng để thay thế cho các phần mềm truyền thống, nó cũng trở thành mỏ vàng mới giới tội phạm.
Từ vài năm trước, những tên tội phạm mạng và các spammer đang mua lại các tiện ích mở rộng này từ các nhà phát triển và sau đó cập nhật chúng mà không thông báo với người dùng, nhằm đưa vào hàng tá quảng cáo trong mọi website mà người dùng truy cập và tạo ra các khoản doanh thu lớn từ điều đó.
Nhưng giờ những tên tội phạm này đã thay đổi mô hình kinh doanh của mình – thay vì phải đầu tư tiền bạc để mua lại các tiện ích đó, các spammer đã bắt đầu một làn sóng tấn công lừa đảo mới nhằm đến việc cướp lấy các extension nổi tiếng trên trình duyệt.
Chỉ mấy ngày trước đây, người ta vừa phát hiện ra cách những tên tội phạm mạng đã tấn công và gây tổn thương cho tài khoản trên Chrome Web Store của một nhóm các nhà phát triển người Đức và cướp đi extesion Copyfish của họ. Sau đó, chúng chỉnh sửa lại nó và đưa vào tính năng chèn quảng cáo để phát tán thư rác đến cho người dùng.
Sau đó vài ngày, một extension phổ biến khác của trình duyệt Chrome, “Web Developer”, đã bị một số kẻ tấn công không rõ danh tính cướp mất. Những kẻ tấn công sau đó đã cập nhật extension này và đưa trực tiếp các quảng cáo vào trong trình duyệt web của hơn 1 triệu người dùng tiện ích này.
Người tạo ra extension Web Developer, công cụ đã cung cấp hàng loạt công cụ phát triển web cho người dùng này, Chris Pederick đã cảnh báo người dùng vào thứ Tư vừa qua rằng, những kẻ tấn công chưa rõ danh tính đã lừa cướp được tài khoản Google của mình, cập nhật extension trên lên phiên bản 0.4.9 và đưa nó tới 1.044.000 người dùng của mình.
Trong các vụ việc trên, đầu tiên những tên tội phạm mạng đều sử dụng các thủ thuật lừa đảo để chiếm quyền truy cập tài khoản Google của nhà phát triển, cướp lấy các extension tương ứng của họ và sau đó cập nhật tiện ích đó để thực thi các tác vụ độc hại.
Tuy nhiên, các phiên bản addon trên Firefox của hai tiện ích mở rộng trên đều không bị ảnh hưởng.
Theo nhà phát triển, phiên bản độc hại của phần mềm này đã nạp mã JavaScript từ web và chạy nó bên trong trình duyệt của người dùng để buộc các quảng cáo trên trang web phải hiển thị. Plugin này có quyền truy cập vào gần như mọi thứ đang diễn ra trong trình duyệt của người dùng – và nó cũng có thể làm mọi thứ, từ đọc các nội dung website cho đến can thiệp vào băng thông, các thao tác trên bàn phím, hay bất cứ tác vụ nào mà kẻ tấn công hình dung được.
Vì vậy, việc cướp đoạt extension Web Developer có thể trở thành một nỗi ác mộng cho người dùng – đặc biệt với các chuyên gia thiết kế khi họ đang truy cập vào tài khoản chính của mình (website, hosting và email) trên cùng trình duyệt có cài extension này.
Pederick cho biết, phiên bản 0.4.9 của tiện ích này có thể còn làm mọi việc tồi tệ hơn, nhưng trong vòng 5 đến 6 giờ sau khi bị tổn thương, anh đã biết về sự có mặt của phiên bản độc hại này, và gỡ nó ra khỏi cửa hàng Chrome, cũng như sửa chữa nó trong khoảng một giờ sau đấy.
Tuy nhiên, các dòng code bị tổn thương cũng đã giúp những tên tội phạm kiếm được một khoản hoa hồng không nhỏ từ quảng cáo chỉ trong vòng vài giờ mã javascript độc hại được kích hoạt. Người dùng Web Developer được khuyến khích nên cập nhật lên phiên bản 0.5 ngay lập tức để tránh bị tổn thương.
Người dùng cũng nên xem xét thay đổi mật khẩu cho tất cả các tài khoản web, cũng như vô hiệu hóa các token đăng nhập và cookies đã được sử dụng trên các website mà họ đã truy cập trong khi sử dụng phải extension bị tổn thương.
Theo GenK