Các nhà nghiên cứu an ninh mạng vừa công bố chi tiết về một chiến dịch tấn công tinh vi mang tên KongTuke, trong đó tin tặc sử dụng tiện ích mở rộng Google Chrome giả dạng trình chặn quảng cáo để cố tình làm sập trình duyệt web, sau đó thao túng tâm lý người dùng nhằm lừa họ tự tay thực thi các lệnh độc hại. Chiến dịch này đã phát tán một phần mềm truy cập từ xa (RAT) hoàn toàn mới mang tên ModeloRAT, với mục tiêu chính là môi trường doanh nghiệp.
Theo công ty an ninh mạng Huntress, đây là một bước leo thang mới của kỹ thuật ClickFix, được các nhà nghiên cứu đặt tên là CrashFix, do lợi dụng trực tiếp sự cố sập trình duyệt để ép người dùng tương tác.
Trong chiến dịch này, tin tặc phát tán một tiện ích mở rộng có tên NexShield, tự quảng cáo là trình chặn quảng cáo “ưu tiên quyền riêng tư, hiệu suất cao”.
Tuy nhiên, NexShield thực chất là một cái bẫy được thiết kế sẵn. Các nhà nghiên cứu phát hiện tiện ích này thực hiện tấn công từ chối dịch vụ (DoS) ngay bên trong trình duyệt Chrome, bằng cách tạo ra hàng loạt kết nối chrome.runtime trong một vòng lặp vô hạn, khiến tài nguyên bộ nhớ nhanh chóng bị cạn kiệt.
Đối với người dùng Chrome hoặc Edge, dấu hiệu dễ nhận biết là các tab bị treo, mức sử dụng CPU và RAM tăng đột biến, trình duyệt trở nên chậm chạp, không phản hồi và cuối cùng là buộc phải đóng hoặc khởi động lại.
Kịch bản tấn công diễn ra theo ba bước rõ ràng:
Đầu tiên, NexShield cố tình gây sự cố, khiến trình duyệt bị treo. Khi người dùng khởi động lại, tiện ích hiển thị một cửa sổ cảnh báo giả, đề nghị quét hệ thống để tìm lỗi.
Tiếp đó, khi người dùng bấm “Run Scan”, một cảnh báo bảo mật giả mạo khác xuất hiện, kèm theo hướng dẫn khắc phục.
Ở bước cuối cùng, nạn nhân được yêu cầu sao chép và dán một đoạn lệnh vào PowerShell hoặc Command Prompt.
Theo các chuyên gia, đây chính là kỹ thuật CrashFix – một biến thể của ClickFix. Thông qua thao tác copy-paste tưởng như vô hại này, người dùng đã vô tình kích hoạt một tập lệnh PowerShell ẩn, cho phép tin tặc tải xuống và thực thi mã độc từ xa.
Điểm tinh vi của NexShield nằm ở chỗ hoạt động độc hại bị trì hoãn tới khoảng một giờ sau khi cài đặt, khiến nạn nhân khó liên hệ sự cố với tiện ích vừa được cài, đồng thời giúp chiến dịch né tránh việc bị phát hiện sớm.
Các phân tích cho thấy chiến dịch này nhiều khả năng được thiết kế để nhắm mục tiêu vào khối doanh nghiệp, nơi hậu quả của việc bị cài RAT có thể nghiêm trọng hơn nhiều.
Hiện tại, Google đã gỡ bỏ NexShield khỏi Chrome Web Store. Tuy nhiên, vụ việc được các chuyên gia đánh giá là một hồi chuông cảnh tỉnh, cho thấy tin tặc ngày càng tận dụng quảng cáo và kết quả tìm kiếm để dẫn dụ người dùng tới các tiện ích hoặc phần mềm giả mạo, kể cả khi chúng xuất hiện trên những nền tảng vốn được xem là đáng tin cậy.
