Hơn 1,31 triệu người dùng đã cố gắng cài đặt các tiện ích mở rộng trình duyệt web độc hại hoặc không mong muốn ít nhất một lần, phát hiện mới từ công ty an ninh mạng Kaspersky cho thấy.
Công ty cho biết: “Từ tháng 1 năm 2020 đến tháng 6 năm 2022, hơn 4,3 triệu người dùng duy nhất đã bị tấn công bởi phần mềm quảng cáo ẩn trong các tiện ích mở rộng của trình duyệt, khoảng 70% tổng số người dùng bị ảnh hưởng bởi các tiện ích bổ sung độc hại và không mong muốn”.
Theo dữ liệu đo từ xa của Kaspersky, có tới 1.311.557 người dùng thuộc đối tượng này trong nửa đầu năm 2022. Trong khi đó, số lượng người dùng như vậy đạt đỉnh vào năm 2020 là 3.660.236, tiếp theo là 1.823.263 người dùng duy nhất vào năm 2021.
Mối đe dọa phổ biến nhất là một họ phần mềm quảng cáo có tên là WebSearch, giả dạng người xem PDF và các tiện ích khác, đồng thời có khả năng thu thập và phân tích các truy vấn tìm kiếm và chuyển hướng người dùng đến các liên kết liên kết.
WebSearch cũng đáng chú ý trong việc sửa đổi trang bắt đầu của trình duyệt, trang này chứa công cụ tìm kiếm và một số liên kết đến các nguồn của bên thứ ba như AliExpress, khi nạn nhân nhấp vào, giúp các nhà phát triển tiện ích mở rộng kiếm tiền thông qua các liên kết liên kết.
“Ngoài ra, tiện ích mở rộng sửa đổi công cụ tìm kiếm mặc định của trình duyệt thành search.myway[.]com, có thể nắm bắt các truy vấn của người dùng, thu thập và phân tích chúng “, Kaspersky lưu ý.” Tùy thuộc vào nội dung người dùng tìm kiếm, hầu hết các trang web đối tác có liên quan sẽ được tích cực quảng cáo trong kết quả tìm kiếm. “
Tập hợp các tiện ích mở rộng thứ hai liên quan đến một mối đe dọa có tên AddScript che giấu chức năng độc hại của nó dưới vỏ bọc của những người tải xuống video. Mặc dù các tiện ích bổ sung cung cấp các tính năng được quảng cáo, chúng cũng được thiết kế để liên hệ với máy chủ từ xa để truy xuất và thực thi một đoạn mã javascript tùy ý.
Hơn một triệu người dùng được cho là đã gặp phải phần mềm quảng cáo chỉ trong H1 2022, với WebSearch và AddScript nhắm mục tiêu đến 876.924 và 156.698 người dùng duy nhất.
Cũng được tìm thấy là các trường hợp phần mềm độc hại đánh cắp thông tin như FB Stealer, nhằm mục đích đánh cắp thông tin đăng nhập Facebook và cookie phiên của người dùng đã đăng nhập. FB Stealer đã chịu trách nhiệm cho 3.077 lần lây nhiễm duy nhất trong H1 2022.
Phần mềm độc hại chủ yếu chỉ ra những người dùng đề phòng phần mềm bị bẻ khóa trên các công cụ tìm kiếm, với FB Stealer được phân phối thông qua một trojan có tên NullMixer, lan truyền thông qua các trình cài đặt bẻ khóa không chính thức cho phần mềm như SolarWinds Broadband Engineers Edition.
“FB Stealer được cài đặt bởi phần mềm độc hại chứ không phải bởi người dùng”, các nhà nghiên cứu cho biết. “Sau khi được thêm vào trình duyệt, nó bắt chước tiện ích mở rộng Google Dịch chuẩn và vô hại của Chrome.”
Các cuộc tấn công này cũng có động cơ tài chính. Những kẻ điều hành phần mềm độc hại, sau khi nắm giữ cookie xác thực, đăng nhập vào tài khoản Facebook của mục tiêu và chiếm đoạt nó bằng cách thay đổi mật khẩu, khóa nạn nhân một cách hiệu quả. Những kẻ tấn công sau đó có thể lạm dụng quyền truy cập để yêu cầu bạn bè của nạn nhân cho tiền.
Các phát hiện được đưa ra hơn một tháng sau khi Zimperiumm tiết lộ một họ phần mềm độc hại có tên là ABCsoup giả mạo là một tiện ích mở rộng của Google Dịch như một phần của chiến dịch phần mềm quảng cáo nhắm mục tiêu đến người dùng Nga trên các trình duyệt Google Chrome, Opera và Mozilla Firefox.
Để giữ cho trình duyệt web không bị nhiễm trùng, người dùng nên truy cập vào các nguồn đáng tin cậy để tải xuống phần mềm, xem xét các quyền của tiện ích mở rộng, đồng thời xem xét và gỡ cài đặt định kỳ các tiện ích bổ sung mà “bạn không còn sử dụng hoặc bạn không nhận ra”.
.
