Điểm chung của toàn bộ các extension này là đều kết nối về cùng một hạ tầng điều khiển (C2), cho phép kẻ tấn công thu thập dữ liệu và điều khiển trình duyệt của nạn nhân từ xa. Tổng số lượt cài đặt được ghi nhận vào khoảng 20.000, cho thấy phạm vi ảnh hưởng không hề nhỏ. Vấn đề nằm ở việc các tiện ích độc hại đã vượt qua kiểm duyệt và được phân phối công khai, lợi dụng niềm tin của người dùng đối với hệ sinh thái tiện ích trình duyệt.
Về cơ chế hoạt động, các extension này được thiết kế để ngụy trang dưới nhiều dạng ứng dụng quen thuộc như công cụ hỗ trợ Telegram, tiện ích cải thiện trải nghiệm YouTube, TikTok, công cụ dịch thuật hoặc thậm chí là game giải trí. Tuy nhiên, phía sau giao diện tưởng chừng vô hại là các đoạn mã độc hoạt động ngầm.
Sau khi được cài đặt, tiện ích sẽ yêu cầu quyền truy cập sâu vào trình duyệt, cho phép nó can thiệp vào mọi trang web người dùng truy cập. Từ đó, mã độc có thể chèn script tùy ý, hiển thị quảng cáo hoặc chuyển hướng người dùng đến các trang web do kẻ tấn công kiểm soát.
Một số extension còn được tích hợp khả năng đánh cắp dữ liệu ở mức nghiêm trọng. Chẳng hạn, nhiều tiện ích sử dụng cơ chế OAuth2 để thu thập thông tin tài khoản Google, bao gồm email, tên người dùng và ID tài khoản. Các tiện ích khác lại tập trung vào việc chiếm quyền phiên đăng nhập của Telegram bằng cách trích xuất token xác thực và gửi về máy chủ điều khiển.
Đáng chú ý, một số extension còn có thể ghi đè dữ liệu phiên làm việc trên trình duyệt, cho phép kẻ tấn công “chiếm quyền” phiên Telegram của nạn nhân mà không cần mật khẩu. Điều này đồng nghĩa với việc tin tặc có thể đọc tin nhắn, gửi nội dung hoặc thực hiện các hành vi giả mạo.
Ngoài ra, các tiện ích này còn có khả năng vô hiệu hóa các cơ chế bảo mật trên những nền tảng lớn như YouTube hoặc TikTok, từ đó chèn nội dung quảng cáo hoặc các lớp phủ mang tính lừa đảo. Một số khác thậm chí còn gửi dữ liệu phiên Telegram về máy chủ mỗi 15 giây, cho thấy mức độ theo dõi liên tục và xâm nhập sâu vào quyền riêng tư người dùng.
Nguyên nhân khiến chiến dịch này có thể hoạt động là do người dùng thường chủ quan khi cài đặt extension, đồng thời cấp quá nhiều quyền mà không kiểm tra kỹ. Bên cạnh đó, các tiện ích này được thiết kế để sử dụng chung một hệ thống backend, giúp kẻ tấn công dễ dàng quản lý và mở rộng quy mô chiến dịch.
Phân bố hành vi
-
54 extension → đánh cắp Google account
-
45 extension → có backdoor mở URL
-
Nhiều extension → inject script toàn bộ website
-
Một số → exfil Telegram mỗi 15 giây
-
Telegram Multi-account
-
Web Client for Telegram – Teleside
-
Telegram Sidebar Tool
-
Telegram Panel Extension
-
Lấy user_auth token
-
Gửi về server C2
-
Có thể chiếm luôn phiên đăng nhập Telegram
-
Formula Rush Racing Game
-
Speed Racing Pro
-
Keno Online Game
-
Slot Machine Classic
-
Fake nút “Sign in with Google”
-
Thu thập: Email, Name, Avatar, Google ID
-
YouTube Pro Enhancer
-
YouTube Fullscreen Helper
-
TikTok Viewer Plus
-
TikTok Engagement Booster
-
Gỡ CSP/ CORS/ X-Frame-Options
-
Thu thập: Ads, Gambling overlay, Script độc
-
Quick Translate Tool
-
Page Translator Pro
-
Smart Translate AI
-
Multi Language Helper
-
Proxy toàn bộ request về server attacker
-
Thu thập: Nội dung người dùng nhập, URL truy cập
-
Fast Browser Launcher
-
Quick Access Tool
-
New Tab Manager Pro
-
Tự động mở URL khi start Chrome
-
Điều hướng user → site độc hại
-
Dùng làm entry point cho attack chain
Không dừng lại ở đó, việc bị chèn mã JavaScript vào mọi trang web còn có thể khiến người dùng trở thành mục tiêu của các cuộc tấn công sâu hơn, như phát tán mã độc hoặc đánh cắp thông tin tài chính.
Người dùng đã cài đặt các tiện ích nghi ngờ cần gỡ bỏ ngay lập tức và tiến hành kiểm tra lại toàn bộ tài khoản liên quan. Đối với Telegram, nên đăng xuất khỏi tất cả các phiên đăng nhập từ thiết bị khác thông qua ứng dụng di động để đảm bảo an toàn.
Ngoài ra, việc thường xuyên rà soát danh sách extension, hạn chế cấp quyền không cần thiết và sử dụng các giải pháp bảo mật bổ sung sẽ giúp giảm thiểu nguy cơ bị tấn công.
