An ninh mạng

Cảnh báo: 152 tiện ích mở rộng Chrome giả mạo đang phát tán adware và gian lận lưu lượng truy cập

Các nhà nghiên cứu an ninh mạng vừa phát hiện mạng lưới 152 tiện ích mở rộng trên Chrome Web Store với hơn 105.000 lượt cài đặt, được sử dụng để phát tán adware và tạo lưu lượng truy cập giả...

Nguyen Hung
15 Tháng 6, 2026 2 Min Read
2 0

Một chiến dịch độc hại quy mô lớn vừa được các chuyên gia an ninh mạng bóc trần, liên quan đến 152 tiện ích mở rộng (extension) trên Google Chrome. Các tiện ích này chủ yếu được ngụy trang dưới dạng hình nền (wallpaper) cho tab mới, nhưng thực chất lại chứa các chương trình không mong muốn (PUP) và thực hiện hành vi gian lận lưu lượng truy cập.

Theo báo cáo, mạng lưới này phân bổ trên 38 tài khoản nhà phát triển khác nhau và kết nối với ba tên miền backend chính: tabplugins[.]com, yowgames[.]comchromewallpaper[.]com. Tổng cộng, các tiện ích này đã ghi nhận hơn 105.000 lượt cài đặt từ người dùng.

Hành vi lừa đảo tinh vi

Điểm đáng chú ý là sự mâu thuẫn giữa cam kết bảo mật và thực tế vận hành. Mặc dù trên Chrome Web Store, các tiện ích này khẳng định không thu thập dữ liệu người dùng, nhưng chính sách bảo mật thực tế lại thừa nhận việc ghi lại địa chỉ IP, nhà cung cấp dịch vụ internet (ISP), số lần nhấp chuột và dữ liệu giới thiệu (referrer). Thông tin này sau đó được chia sẻ với Google AdSense, DoubleClick và các đối tác quảng cáo bên thứ ba.

Các nhà nghiên cứu từ Socket cho biết, một nhóm các tiện ích này còn chứa mã JavaScript (js/bg.js) được thiết lập để thực hiện các hành vi gian lận:

  • Giả mạo nguồn truy cập: Khi người dùng cài đặt hoặc gỡ cài đặt, tiện ích tự động mở các tab với tham số UTM được thiết kế để đánh lừa hệ thống phân tích, khiến lưu lượng truy cập trông như đến từ “tìm kiếm tự nhiên” (organic search) trên Google.
  • Mô phỏng hành vi người dùng: Các liên kết gỡ cài đặt được bao bọc trong định dạng google.com/url, bao gồm cả các token xác thực, nhằm đánh lừa hệ thống rằng đó là một cú nhấp chuột hợp lệ từ kết quả tìm kiếm của con người.
  • Khả năng xóa dữ liệu: Các tệp mã nguồn còn chứa tính năng tiềm ẩn cho phép liệt kê và xóa toàn bộ cơ sở dữ liệu IndexedDB ngay khi service worker khởi động.

Nguồn gốc và khuyến cáo

Mặc dù danh tính thực sự của nhóm đứng sau chiến dịch này vẫn chưa được xác định, các chỉ dấu kỹ thuật cho thấy khả năng cao có liên quan đến một nhóm tội phạm mạng tại Thổ Nhĩ Kỳ. Mục tiêu chính của chiến dịch này là trục lợi từ quảng cáo và gian lận lưu lượng truy cập (traffic-attribution-fraud).

Người dùng Chrome được khuyến cáo nên kiểm tra danh sách các tiện ích mở rộng đang cài đặt trên trình duyệt. Nếu phát hiện các tiện ích có tên liên quan đến hình nền anime, xe cộ hoặc các chủ đề tương tự như trong danh sách bị cảnh báo, hãy gỡ bỏ ngay lập tức để bảo vệ quyền riêng tư và tránh các rủi ro về adware.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept