Một nhóm tác nhân đe dọa tinh vi có tên ShadyPanda đã thực hiện thành công một chiến dịch kéo dài 7 năm, xâm phạm hàng triệu người dùng trình duyệt thông qua các mã độc mở rộng trình duyệt (Chrome và Edge) phổ biến. Cuộc tấn công này đại diện cho một sự vi phạm nghiêm trọng về lòng tin của người dùng, bởi các tiện ích mở rộng độc hại đã đạt được trạng thái xác minh từ cả Google và Microsoft, khiến chúng trông hợp pháp đối với người dùng không nghi ngờ.

Tổng quan về Chiến dịch ShadyPanda kéo dài 7 năm

Trong suốt 7 năm hoạt động, ShadyPanda đã lây nhiễm tới 4,3 triệu thiết bị mà vẫn không bị phát hiện trong phần lớn thời gian. Điều này chứng tỏ một phương pháp tiếp cận kiên nhẫn và liên tục phát triển đối với các cuộc tấn công dựa trên trình duyệt.

Chiến dịch này bao gồm hai giai đoạn riêng biệt nhưng liên kết chặt chẽ. Cấu trúc hoạt động kép này cho thấy khả năng của nhóm đe dọa trong việc duy trì nhiều vector tấn công đồng thời, đồng thời né tránh sự phát hiện trong thời gian dài.

Hai giai đoạn tấn công chính của ShadyPanda

Giai đoạn 1: Backdoor thực thi mã từ xa (RCE)

• Giai đoạn đầu tiên liên quan đến việc triển khai một backdoor thực thi mã từ xa (RCE) thông qua năm tiện ích mở rộng được vũ khí hóa.
• Trong số đó có ứng dụng nổi tiếng Clean Master, đã tích lũy hơn 300.000 lượt cài đặt trước khi kích hoạt mã độc.
• Backdoor này cho phép nhóm tấn công kiểm soát từ xa các thiết bị bị nhiễm.

Giai đoạn 2: Hoạt động Spyware quy mô lớn

• Giai đoạn thứ hai bao gồm một hoạt động spyware quy mô lớn.
• Năm tiện ích mở rộng bổ sung được sử dụng trong giai đoạn này, với tổng số hơn 4 triệu lượt cài đặt.
• Đặc biệt là tiện ích mở rộng WeTab New Tab Page, với riêng nó đã có 3 triệu người dùng bị ảnh hưởng.
• Giai đoạn này tập trung vào việc thu thập thông tin người dùng một cách bí mật.

Cơ chế lây nhiễm và kích hoạt mã độc mở rộng trình duyệt

Các nhà phân tích bảo mật tại Koi Security đã ghi nhận và xác định rằng thành công của ShadyPanda đến từ việc vũ khí hóa các ứng dụng hợp pháp thông qua các bản cập nhật im lặng, thay vì các phương pháp phân phối mã độc thông thường. Theo báo cáo của Koi Security, nhóm này đã tạo dựng lòng tin bằng cách cho phép các tiện ích mở rộng hoạt động bình thường trong nhiều năm, thu thập các đánh giá người dùng chân thực và tăng số lượng cài đặt.

Khi đạt đến số lượng người dùng đủ lớn, một bản cập nhật duy nhất đã biến các công cụ đáng tin cậy này thành các công cụ giám sát. Việc này lợi dụng cơ chế cập nhật tự động của Chrome và Edge để ngay lập tức xâm phạm hàng triệu trình duyệt mà không cần tương tác hoặc hiển thị cho người dùng.

Hoạt động kỹ thuật của mã độc

Cơ chế lây nhiễm hoạt động với sự tinh vi đáng chú ý thông qua nhiều phương pháp kỹ thuật khác nhau. Mỗi trình duyệt bị nhiễm sẽ liên hệ với các máy chủ từ xa hàng giờ để truy xuất các hướng dẫn mới và thực thi mã JavaScript tùy ý với quyền truy cập đầy đủ vào API của trình duyệt.

Điều này tạo ra một backdoor liên tục thay vì một mã độc tĩnh, cho phép nhóm đe dọa điều chỉnh các cuộc tấn công một cách linh hoạt. Các payload độc hại thu thập toàn bộ lịch sử duyệt web, các truy vấn tìm kiếm, các mẫu điều hướng trang web và tọa độ nhấp chuột chính xác. Tất cả dữ liệu này được mã hóa bằng mã hóa AES trước khi truyền đến các máy chủ từ xa.

Kỹ thuật lẩn tránh và chống phân tích của ShadyPanda

Để duy trì hiệu quả chống lại các nhà nghiên cứu bảo mật, mã độc mở rộng trình duyệt này sử dụng các kỹ thuật lẩn tránh tiên tiến. Khi các công cụ nhà phát triển (developer tools) được mở, tiện ích mở rộng sẽ ngay lập tức chuyển sang hành vi lành tính, ngăn chặn việc phân tích và phát hiện.

Mã độc sử dụng kỹ thuật che giấu mã (obfuscation) mạnh mẽ thông qua việc rút ngắn tên biến và thực thi thông qua một trình thông dịch JavaScript dung lượng 158KB để vượt qua các chính sách bảo mật. Ngoài ra, các service worker cho phép khả năng man-in-the-middle (MITM), cho phép chặn và sửa đổi các tệp hợp pháp, bao gồm cả việc thu thập thông tin xác thực từ các kết nối HTTPS.

Tác động và rủi ro đối với Môi trường Doanh nghiệp

Mối đe dọa mạng này hiện không chỉ giới hạn ở người tiêu dùng cá nhân mà còn mở rộng đến các môi trường doanh nghiệp. Các máy trạm của nhà phát triển đang chạy các tiện ích mở rộng bị nhiễm mã độc đại diện cho các điểm xâm nhập vào mạng công ty. Điều này có thể làm ảnh hưởng đến các kho lưu trữ mã nguồn, khóa API và quyền truy cập vào cơ sở hạ tầng đám mây. Việc chiếm quyền điều khiển các tài nguyên quan trọng trong môi trường doanh nghiệp là một nguy cơ rất lớn.

Các tổ chức cần nhận thức rõ về rủi ro này và tăng cường các biện pháp bảo mật để bảo vệ tài sản kỹ thuật số của mình trước các mối đe dọa mạng tinh vi như ShadyPanda.

Biện pháp phòng ngừa và phát hiện xâm nhập hiệu quả

Các chuyên gia bảo mật phải ngay lập tức kiểm toán các tiện ích mở rộng đã cài đặt trên các hệ thống quan trọng. Đồng thời, cần triển khai các giải pháp giám sát hành vi để phát hiện xâm nhập và các mẫu vũ khí hóa mà các phân tích tĩnh truyền thống không thể xác định được.

Việc thường xuyên cập nhật bản vá bảo mật cho trình duyệt và hệ điều hành cũng là một yếu tố quan trọng. Nâng cao nhận thức người dùng về các nguy cơ từ mã độc mở rộng trình duyệt cũng góp phần giảm thiểu rủi ro.

Các bước khuyến nghị:

• Kiểm toán tiện ích mở rộng: Rà soát và gỡ bỏ mọi tiện ích mở rộng không cần thiết hoặc đáng ngờ trên tất cả các trình duyệt, đặc biệt trên các máy trạm làm việc quan trọng.
• Giám sát hành vi: Triển khai các công cụ giám sát hành vi endpoint (EDR) có khả năng phát hiện các hoạt động bất thường của tiện ích mở rộng hoặc quá trình trình duyệt.
• Chính sách bảo mật: Thực thi chính sách kiểm soát tiện ích mở rộng, chỉ cho phép cài đặt các tiện ích từ nguồn đáng tin cậy và đã được kiểm duyệt.
• Cập nhật hệ thống: Đảm bảo trình duyệt và hệ điều hành luôn được cập nhật lên phiên bản mới nhất với các bản vá bảo mật.