An ninh mạng

Microsoft gỡ bỏ 119 tiện ích mở rộng trên Edge chứa mã độc ẩn trong ảnh và font chữ

Microsoft vừa loại bỏ 119 tiện ích mở rộng trên trình duyệt Edge vì hành vi ẩn mã độc tinh vi bên trong các tệp hình ảnh và font chữ để thực hiện gian lận quảng cáo và đánh cắp thông tin người...

Nguyen Hung
29 Tháng 6, 2026 2 Min Read
1 0

Microsoft vừa thực hiện chiến dịch thanh trừng quy mô lớn trên kho tiện ích mở rộng của trình duyệt Edge, gỡ bỏ 119 tiện ích được xác định là chứa mã độc. Chiến dịch này, được các chuyên gia gọi là StegoAd, đã âm thầm hoạt động từ năm 2021 với mục tiêu thực hiện gian lận quảng cáo và đánh cắp thông tin đăng nhập của người dùng.

Table Of Content

Kỹ thuật ẩn mình tinh vi

Điểm đáng chú ý nhất của chiến dịch này là việc sử dụng kỹ thuật steganography (giấu tin). Thay vì lưu trữ mã độc trực tiếp, các tiện ích này ẩn mã thực thi bên trong các tệp hình ảnh (như PNG, WebP) hoặc tệp font chữ (WOFF2). Bằng cách chèn mã JavaScript vào các phần dữ liệu không hiển thị của tệp tin, kẻ tấn công đã qua mặt được các hệ thống quét tĩnh truyền thống.

Các tiện ích này thường giả dạng dưới hình thức phổ biến như trình chặn quảng cáo, VPN, công cụ dịch thuật hoặc trình tải video. Sau khi cài đặt, mã độc sẽ duy trì trạng thái “ngủ đông” trong nhiều ngày để vượt qua các bước kiểm duyệt bảo mật trước khi bắt đầu kích hoạt payload.

Tác động và hành vi của mã độc

Theo Microsoft, khoảng 2,6 triệu người dùng đã cài đặt các tiện ích này. Sau khi kích hoạt, mã độc không chỉ thực hiện hành vi gian lận quảng cáo (như chuyển hướng tìm kiếm, chèn quảng cáo trái phép) mà còn thực hiện các hành vi nguy hiểm hơn:

  • Đánh cắp thông tin: Thu thập thông tin đăng nhập Google, tài khoản quản trị WordPress và các cookie phiên làm việc.
  • Remote Code Execution (RCE): Thiết lập cửa hậu (backdoor) cho phép kẻ tấn công thực thi mã JavaScript tùy ý từ máy chủ điều khiển (C2).
  • Tự bảo vệ: Mã độc có khả năng phát hiện khi người dùng mở công cụ DevTools để kiểm tra, từ đó tạm dừng hoạt động để tránh bị phân tích.

Kẻ tấn công sử dụng hạ tầng phức tạp bao gồm nhiều tên miền C2, tận dụng Cloudflare Workers và GitHub Pages để duy trì sự bền bỉ cho chiến dịch.

Khuyến cáo cho người dùng

Microsoft đã đình chỉ hơn 90 tài khoản nhà phát triển liên quan đến chiến dịch này. Người dùng trình duyệt Edge được khuyến cáo:

  • Kiểm tra danh sách tiện ích đang cài đặt tại edge://extensions.
  • Nếu phát hiện các tiện ích khả nghi hoặc đã bị Microsoft gỡ bỏ, hãy ngay lập tức thay đổi mật khẩu của các tài khoản quan trọng như Google, WordPress, ngân hàng và các dịch vụ nhạy cảm khác.
  • Kích hoạt xác thực hai yếu tố (2FA), ưu tiên sử dụng khóa bảo mật phần cứng (hardware security key) thay vì SMS để bảo vệ tài khoản tốt hơn trước các cuộc tấn công đánh cắp thông tin.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept