Một tiện ích mở rộng từng hoạt động hợp pháp trên Google Chrome bất ngờ bị cài mã độc sau khi đổi chủ, âm thầm thu thập thông tin đăng nhập và nhắm tới tài khoản tiền điện tử của người dùng. Vụ việc tiếp tục gióng lên hồi chuông cảnh báo về rủi ro từ các bản cập nhật tiện ích mở rộng.
Theo trang bảo mật Bleeping Computer, tiện ích QuickLens, vốn cho phép tìm kiếm hình ảnh trực tiếp bằng Google Lens đã bị chèn mã độc sau khi chuyển quyền sở hữu. Trước thời điểm này, QuickLens hoạt động bình thường và có khoảng 7.000 lượt cài đặt.
Sự cố được cho là bắt đầu từ ngày 17/2, khi phiên bản 5.8 được phát hành không lâu sau khi tiện ích đổi chủ. Bản cập nhật mới không chỉ duy trì chức năng tìm kiếm hình ảnh mà còn âm thầm tích hợp các thành phần hỗ trợ tấn công và thu thập dữ liệu người dùng.
Ông John Tuckner, nhà sáng lập Annex Security, nhận định đây là ví dụ điển hình của lỗ hổng trong chuỗi cung ứng phần mềm. Một tiện ích từng đáng tin cậy có thể trở thành công cụ tấn công chỉ sau một lần chuyển nhượng và cập nhật.
Do trình duyệt Google Chrome mặc định tự động cập nhật tiện ích, người dùng hầu như không nhận ra sự thay đổi. Nếu trước đó đã cấp quyền truy cập, phiên bản độc hại sẽ được cài đặt mà không có cảnh báo rõ ràng.
Phân tích kỹ thuật cho thấy mã độc trong QuickLens có thể can thiệp cơ chế bảo mật, thực thi mã từ xa và triển khai hình thức tấn công mang tên ClickFix.
Với kịch bản này, người dùng có thể nhận được thông báo cập nhật Google giả mạo. Khi làm theo hướng dẫn, họ vô tình nhập thông tin đăng nhập vào trang lừa đảo. Mục tiêu chính của chiến dịch được cho là tài khoản tiền điện tử và địa chỉ ví.
Đây không phải trường hợp cá biệt. Trước đó, một tiện ích liên quan đến Trust Wallet cũng từng bị xâm phạm, gây thiệt hại hàng triệu USD tiền mã hóa.
Sau khi vụ việc bị phát hiện, Google đã xóa QuickLens khỏi Chrome Web Store và vô hiệu hóa tiện ích trên trình duyệt. Điều này đồng nghĩa người dùng sẽ không còn bị ảnh hưởng bởi phiên bản độc hại.
Tuy nhiên, sự cố cho thấy nguy cơ không chỉ tồn tại ở thời điểm cài đặt ban đầu, mà còn có thể phát sinh trong các bản cập nhật sau này.
Các chuyên gia bảo mật khuyến nghị:
-
Không nhấp vào cửa sổ bật lên hoặc liên kết cập nhật không rõ nguồn gốc.
-
Chỉ cập nhật phần mềm từ trang chính thức.
-
Thường xuyên kiểm tra danh sách tiện ích đang cài đặt.
Để gỡ tiện ích không cần thiết trên Chrome, người dùng có thể nhập chrome://extensions/ vào thanh địa chỉ, sau đó chọn Remove đối với tiện ích nghi ngờ.
Trong bối cảnh tội phạm mạng ngày càng tinh vi, việc kiểm soát tiện ích mở rộng trên trình duyệt là bước đơn giản nhưng cần thiết để bảo vệ tài khoản cá nhân và tài sản số.
