Thứ Ba, 21/5/2019
Hotline: 02466615539. Email: tccsnd@hvcsnd.edu.vn
Tiện ích mở rộng trình duyệt độc hại: Mối đe dọa ngày càng tăng

I. Giới thiệu

1.1. Browser Extensions - tiện ích mở rộng trình duyệt

Trình duyệt web là một ứng dụng phần mềm giúp người dùng truy cập vào các tài nguyên thông tin trên toàn thế giới Web. Hiện tại, các trình duyệt web không chỉ hỗ trợ người dùng duyệt các trang web mà còn cung cấp các dịch vụ và tính năng bổ sung như đánh dấu trang, ảnh chụp màn hình và theo dõi lịch sử, v.v… nhằm nâng cao sự trải nghiệm người dùng.

Theo thời gian, các yêu cầu về sự trải nghiệm của người dùng ngày càng tăng như giao diện đẹp hơn, tốc độ tải trang và download tài liệu nhanh hơn… nhưng trình duyệt lại không thể đáp ứng tất cả nhu cầu của người dùng. Do đó, các tiện ích mở rộng của trình duyệt là các chương trình bổ trợ nhỏ được phát triển để nâng cao chức năng của trình duyệt, giúp người dùng tùy chỉnh trình duyệt cũng như các trang web theo nhu cầu. Các công ty phát triển trình duyệt như Google Chrome, Mozila Firefox… duy trì các kho ứng dụng hoặc cửa hàng của riêng họ để từ đó người dùng có thể tải xuống các tiện ích mở rộng và thêm vào trình duyệt một cách dễ dàng.

1.2. Malicious Browser Extensions - Tiện ích mở rộng trình duyệt độc hại

Điều đáng nói nhất về các tiện ích mở rộng là chúng hoàn toàn độc lập với trình duyệt. Điều này có nghĩa rằng các tiện ích mở rộng cho Chrome không do Google trực tiếp quản lý và các tiện ích mở rộng cho Firefox cũng nằm ngoài sự kiểm soát của Mozilla. Các tiện ích mở rộng sẽ phải tuân thủ chính sách của Google và Mozilla, song nếu đã được phát hành và cài đặt trên trình duyệt của người dùng, chúng có thể tự cập nhật và lây lan mã độc tới hàng triệu máy vi tính trước khi bị phát hiện và gỡ bỏ khỏi kho tiện ích của Google và Mozilla.

Vì những đặc quyền cụ thể khiến cho một tiện ích mở rộng có ưu thế hơn bất kỳ một phần mềm cụ thể khác. Một tiện ích mở rộng trình duyệt độc hại có thể khai thác lỗ hổng trong phần mở rộng hoặc kiến trúc cơ bản của trình duyệt web hoặc các chính sách bảo mật của cửa hàng mở rộng để khởi động các cuộc tấn công.

II. Một số hình thức tấn công của tiện ích mở rộng độc hại

2.1. Tấn công Phishing

Phishing là một hành vi giả mạo ác ý nhằm lấy được các thông tin nhạy cảm như tên người dùng, mật khẩu và các chi tiết thẻ tín dụng. Phishing xuất hiện như một thực thể đáng tin cậy, một trang thông tin điện tử, eBay, Paypal, gmail hay các ngân hàng trực tuyến là những mục tiêu hướng đến của hình thức tấn công này. 

Phishing thường được thực hiện qua email, những tin nhắn nhanh và thường tập trung vào hướng lừa người dùng nhập các thông tin vào một biểu mẫu hay kích vào một đường dẫn của website lừa đảo.

Tuy nhiên, gần đây hình thức tấn công này còn lợi dụng cả nền tảng tiện ích mở rộng của trình duyệt. Bằng cách lợi dụng các đặc quyền mà tiện ích mở rộng được cấp phép, các đối tượng tự động chèn các liên kết giả mạo lên các trang web hoặc thực hiện điều hướng người dùng một cách tự động đến các trang giả mạo…Mức độ nguy hiểm của hình thức này cao hơn hẳn so với tấn công phishing truyền thống. Người dùng sau khi hoàn thành thao tác nhập các thông tin nhạy cảm vẫn được điều hướng đến trang chính thống (ở một tab khác của trình duyệt), trong khi toàn bộ dữ liệu đã được lưu một bản sao lên máy chủ của kẻ tấn công. Bằng cách này, người dùng không hề biết rằng các dữ liệu nhạy cảm của mình đang bị các tin tặc đánh cắp.

Ngày 21/06/2017, nhóm chuyên gia bảo mật đến từ phòng An toàn thông tin trực thuộc VCCorp đã tình cờ tìm ra và lần theo dấu vết của một đường dây chiếm đoạt thông tin quy mô lớn tại Việt Nam. Sau khi thực hiện nhiều biện pháp nghiệp vụ, họ đã xác định được: Thông tin tài khoản đã bị lấy bởi một mã độc dưới dạng tiện ích mở rộng trên trình duyệt Chrome. Theo thống kê, các tin tặc có thể đã đánh cắp được hơn 55.000 tài khoản Facebook, 6.000 tài khoản Google, 5.000 tài khoản Yahoo và đáng sợ nhất là hơn 5 triệu cookie các trang phổ biến như Facebook, Google Mail, Yahoo Mail, Hotmail hay cả PayPal. 

2.2. Tấn công do thám

Keylogging là một dạng tấn công do thám bằng cách sao chụp lại những thao tác gõ phím của người dùng. Các tiện ích mở rộng trình duyệt độc hại có khả năng thực hiện hành vi này dễ dàng hơn rất nhiều. Tổng hợp kết quả của các tổ hợp phím thu được, kẻ tấn công có thể thu được các tin nhắn cá nhân, nội dung email, số thẻ tín dụng và dĩ nhiên nguy hiểm nhất là mọi loại mật khẩu của người dùng.

Nguy hiểm hơn cả là các loại tiện ích mở rộng có khả năng "giấu kín" quá trình theo dõi của mình. Thực tế, rất nhiều tiện ích mở rộng được cài sẵn mã nguồn để theo dõi người dùng, nhưng các đoạn mã nguồn này chưa được kích hoạt ngay lập tức sau khi cài. Sau một khoảng thời gian, chúng sẽ liên hệ với máy chủ của kẻ tấn công và tự thay đổi tùy chỉnh của mình. Sau đó, các tiện ích mở rộng độc hại này sẽ tự gửi dữ liệu thống kê về quá trình sử dụng của người dùng (ví dụ: thời gian người dùng bỏ ra cho mỗi trang web, thời gian mở tab…) về máy chủ. Người dùng thông thường sẽ không thể nhận ra điều này.

Điển hình, vào tháng 09/2018, vụ việc nội dung tin nhắn của ít nhất 81.000 tài khoản Facebook bị lấy cắp và rao bán trực tuyến đã bị phát hiện. Một nhóm tin tặc đã sử dụng một tiện ích mở rộng độc hại có tính năng sao chụp thông tin từ tài khoản mạng xã hội. Sau đó, các thông tin này được gửi về một cơ sở dữ liệu điều khiển từ xa và được rao bán với giá 10 cents/1 tài khoản.

2.3. Spam email và nghe lén email

Các tiện ích mở rộng độc hại có thể nghe lén các dữ liệu cá nhân và gây ảnh hưởng đến quyền riêng tư của người dùng bằng cách trích xuất siêu dữ liệu của một email thông qua nguồn trang hoặc các phần tử DOM . Các tiện ích mở rộng độc hại này cũng có thể tạo các popup trong nền của trang web trong một thời gian ngắn để nắm bắt mã nguồn trang hoặc các phần tử DOM từ trang web. Do đó, các tiện ích mở rộng độc hại có thể thực hiện gián điệp mà không yêu cầu người dùng phải đăng nhập.

2.4. Tấn công từ chối dịch vụ phân tán - Ddos

Tấn công Ddos là một nỗ lực làm cho những người dùng không thể sử dụng tài nguyên của một máy tính bằng cách làm quá tải tài nguyên của hệ thống. Một tiện ích mở rộng độc hại có thể thực hiện hành vi tấn công Ddos bằng cách gửi một lượng lớn dữ liệu tới một máy chủ từ trình duyệt của người dùng. Ngoài những request đến từ người dùng, các tiện ích mở rộng độc hại có thể tự động tạo ra một loạt các request khác đến mục tiêu bằng cách thay thế các thẻ liên kết, thẻ ảnh, đa phương tiện…của trang gốc bằng trang mục tiêu. Từ đó đạt được mục đích thực hiện hành vi tấn công từ chối dịch vụ. Mặt khác, nếu như các tiện ích mở rộng này được cài đặt một cách rộng rãi trên nhiều trình duyệt của nhiều người dùng trên thế giới thì mức độ tác động của cuộc tấn công càng cao.

2.5.Tiện ích mở rộng quảng cáo

Có rất nhiều tiện ích mở rộng có thể chèn các mẩu quảng cáo lên trang web được hiển thị lên trình duyệt. Các tiện ích độc hại chỉ cần lấy dữ liệu quảng cáo từ máy chủ và chèn nội dung này vào bất cứ phần nào trên trang web. Phần lớn người dùng không nhận ra lỗ hổng này vì thường bỏ qua các mẩu quảng cáo. Đi kèm với quảng cáo thường là các loại cookie theo dõi người dùng nhằm theo dõi lịch sử duyệt web của người dùng. Từ đó cho thấy nguy cơ tiềm ẩn khả năng bị rò rỉ thông tin rất cao.

Ngày 29/07/2017, một tiện ích mở rộng cho trình duyệt Google Chrome có tên Copyfish đã bị tấn và bị xâm phạm bởi một số kẻ tấn công không xác định. Tiện ích này cho phép người dùng trích xuất văn bản từ hình ảnh, tài liệu PDF và video. Sau khi tấn công, Copyfish đã thực hiện đẩy spam và quảng cáo cũng như phần mềm độc hại đến nhiều người dùng. 

2.6. Đào tiền ảo bí mật

Giá các loại tiền ảo đang tăng lên mạnh mẽ đã trở thành động lực thúc đẩy cho việc tìm ra các cách thức “đào tiền ảo chùa” mới. Để tiết kiệm nguồn lực, những kẻ đào tiền ảo tìm cách lợi dụng những người sử dụng hệ thống và thiết bị mà họ không hề biết. Thông thường, các trình duyệt chính là công cụ để thực hiện công cuộc đào tiền ảo một cách bí mật. 

SafeBrowse, một phần mở rộng giúp "bảo vệ trình duyệt" lại được phát hiện âm thầm đào đồng Monero mà không được sự cho phép của hàng trăm nghìn người dùng. Nhiều tiện ích khác hoạt động bằng cách gửi liên kết qua Facebook Messenger tới bạn bè của tài khoản Facebook bị ảnh hưởng để chuyển hướng nạn nhân đến phiên bản giả mạo của các trang web phát trực tuyến video phổ biến như YouTube. Nếu liên kết video độc hại được mở bằng trình duyệt Chrome, các tiện ích mở rộng này sẽ chuyển hướng nạn nhân đến trang YouTube giả mạo. Tiếp đó, người dùng được khuyến khích tải xuống tiện ích mở rộng kiểu như một chương trình giải mã để Chrome tiếp tục phát video. Từ đó là tiền đề để tải thêm các thành phần độc hại khác từ máy chủ điều khiển từ xa để thực hiện yêu cầu của tin tặc.  

Các mã độc này có thể đánh cắp thông tin tài khoản từ các trang web như Google và các trang web tiền mã hóa, đồng thời chuyển hướng nạn nhân đến các chiến dịch lừa đảo; tiêm mã độc đào tiền lên các trang web và chuyển hướng nạn nhân đến liên kết của kẻ tấn công về các chương trình liên quan đến tiền mã hóa…

III. Các giải pháp phòng ngừa

Các tiện ích mở rộng trình duyệt đặc biệt nguy hiểm khi thực hiện các hành vi tấn công một cách âm thầm trên trình duyệt của người dùng, không để lại dấu vết, vượt qua cơ chế kiểm soát của hầu hết các phần mềm bảo vệ máy tính. Cho nên nó rất khó để phát hiện và ngăn chặn. Và thực tế cho thấy, việc phát hiện xem một tiện ích mở rộng có chứa mã độc quảng cáo và có theo dõi người dùng hay không đòi hỏi người dùng phải có một hiểu biết nhất định về lập trình và hệ thống. Điều này có nghĩa rằng nếu chỉ là một người dùng thông thường thì cần thực hiện nguyên tắc "Phòng còn hơn chữa".

Điều đầu tiên mà người dùng cần làm là học cách phân biệt tiện ích thật và giả trên trình duyệt.

Giảm thiểu số lượng tiện ích mở rộng đang sử dụng trên trình duyệt. Hãy chỉ giữ lại những tiện ích thực sự cần dùng, tránh cài đặt các tiện ích không cần thiết. Luôn luôn cập nhật tin tức mới nhất về danh sách các tiện ích mở rộng theo dõi người dùng công khai/hợp pháp để từ đó đưa ra các biện pháp cần thiết. Mặt khác, người dùng nên từ bỏ tính năng tự động cập nhật tiện ích mở rộng, thay vào đó nên kiểm tra bản cập nhật mới có an toàn không và cập nhật thủ công bằng tay lên các phiên bản mới./.

Nguyễn Trung Hiếu

Bộ môn Toán Tin học - Học viện CSND

 

 

 

Gửi cho bạn bè

Phản hồi

Thông tin người gửi phản hồi

Các tin khác