Một chiến dịch phần mềm độc hại lớn đang hoạt động, đã lây nhiễm cho hơn 300.000 trình duyệt Google Chrome và Microsoft Edge. Phần mềm độc hại này tự động cài đặt các tiện ích mở rộng gây hại, đồng thời thay đổi các tệp thực thi của trình duyệt để chiếm quyền kiểm soát trang chủ và ăn cắp lịch sử truy cập web của người dùng.
Theo thông tin từ các nhà nghiên cứu của ReasonLabs, loại mã độc này thường khó bị phát hiện bởi các phần mềm diệt virus. Nó được lây lan qua những trang web giả danh, quảng cáo các phần mềm hấp dẫn như Roblox FPS Unlocker, TikTok Video Downloader, phần mềm tải video từ YouTube, VLC, và nhiều ứng dụng khác.
Khi phần mềm độc hại được cài đặt, nó sẽ khởi động một tập lệnh PowerShell nhằm tải và thực thi mã độc từ một máy chủ xa. Bên cạnh đó, nó cũng thực hiện việc thay đổi thông số trong registry của Windows để ép buộc cài đặt các tiện ích mở rộng độc hại từ Chrome Web Store cũng như Microsoft Edge Add-ons.
Những tiện ích mở rộng này có khả năng chiếm quyền điều khiển các truy vấn tìm kiếm, chỉnh sửa trang chủ và chuyển hướng tìm kiếm qua máy chủ của kẻ tấn công, dẫn đến việc đánh cắp lịch sử duyệt web của người dùng.
ReasonLabs đã phát hiện ra một vài tiện ích mở rộng trên Chrome liên quan đến chiến dịch này, trong đó có một số đã bị gỡ bỏ khỏi Chrome Web Store. Cụ thể bao gồm:
- Custom Search Bar – hơn 40.000 người dùng
- yglSearch – hơn 40.000 người dùng
- Qcom search bar – hơn 40.000 người dùng
- Qtr Search – hơn 6.000 người dùng
- Tiện ích mở rộng Micro Search trên Chrome – hơn 180.000 người sử dụng (đã bị gỡ bỏ khỏi Chrome Web Store)
- Thanh Tìm Kiếm Năng Động – hơn 20.000 người sử dụng (đã bị gỡ bỏ khỏi Chrome Web Store)
- Thanh Tìm Kiếm của bạn – đã có hơn 40.000 người sử dụng (đã bị gỡ bỏ khỏi Cửa Hàng Web của Chrome)
- Safe Search Eng – đã có hơn 35.000 người dùng (đã bị gỡ bỏ khỏi Chrome Web Store)
- Lax Search – hơn 600 người dùng (đã bị gỡ bỏ khỏi Cửa hàng Chrome)
Người sử dụng được khuyên nên thận trọng khi tải phần mềm từ những trang web không rõ nguồn gốc và thường xuyên xem xét các tiện ích mở rộng đã được cài đặt trên trình duyệt. Nếu phát hiện bất kỳ tiện ích nào có dấu hiệu khả nghi, hãy nhanh chóng gỡ bỏ chúng.
