Một tiện ích mở rộng Chrome được tiếp thị dưới tên FreeVPN.One, với hơn 100.000 lượt cài đặt, huy hiệu đã xác minh và vị trí nổi bật trên Chrome Web Store, đã bị phơi bày là một loại phần mềm gián điệp Chrome tinh vi. Tiện ích này lén lút chụp ảnh màn hình các hoạt động duyệt web của người dùng và truyền tải dữ liệu nhạy cảm này đến các máy chủ từ xa mà không có sự cho phép.

Mặc dù chính sách quyền riêng tư của nhà phát triển tiện ích này tuyên bố rõ ràng rằng không thu thập hoặc sử dụng dữ liệu người dùng, phân tích pháp y chuyên sâu đã hé lộ một sự mâu thuẫn trắng trợn. Tiện ích này thực hiện hành vi giám sát liên tục, thu thập thông tin cá nhân cực kỳ nhạy cảm như chi tiết ngân hàng, tin nhắn riêng tư và tài liệu cá nhân mà người dùng không hề hay biết hay được thông báo. Đây thực sự là một mối đe dọa mạng nghiêm trọng đối với quyền riêng tư và an toàn dữ liệu của người dùng.

Cơ chế Hoạt động của Phần Mềm Gián Điệp Chrome

Kiến trúc Thu Thập Ảnh Chụp Màn Hình

Hành vi độc hại của tiện ích mở rộng này được xây dựng trên một kiến trúc hai giai đoạn tinh vi nhằm mục đích thu thập ảnh chụp màn hình một cách lén lút. Ngay sau khi được cài đặt, một content script chuyên biệt sẽ được chèn vào mọi trang web HTTP và HTTPS mà người dùng truy cập, thông qua các kết hợp biểu mẫu rộng trong manifest của tiện ích.

Quá trình này tự động kích hoạt một thao tác chụp màn hình với độ trễ 1.1 giây sau khi trang web tải hoàn tất. Mục đích của độ trễ này là đảm bảo rằng toàn bộ nội dung nhạy cảm của trang, bao gồm các thành phần được tải động, đã được hiển thị đầy đủ trước khi ảnh chụp được thực hiện.

Script này hoạt động như một cầu nối, giao tiếp liên tục với service worker nền của tiện ích. Từ đó, service worker sẽ kích hoạt API chrome.tabs.captureVisibleTab() của Chrome để thực hiện việc chụp ảnh màn hình của cửa sổ trình duyệt hiện tại. Những ảnh chụp này sau đó được đóng gói cẩn thận cùng với URL của trang, ID của tab đang hoạt động và một định danh người dùng duy nhất, trước khi được mã hóa và truyền tải đến điểm cuối độc hại aitd[.]one/brange.php. Toàn bộ quá trình này là một minh chứng rõ ràng về cách thức một phần mềm gián điệp Chrome có thể hoạt động ngầm để thu thập dữ liệu nhạy cảm mà không bị người dùng phát hiện.

Tính năng “Quét với Phát Hiện Mối Đe Dọa AI”

Ngoài cơ chế giám sát ngầm, tiện ích này còn cung cấp một tính năng được gọi là “Scan with AI Threat Detection”. Tính năng này được giới thiệu là một công cụ phân tích cục bộ theo yêu cầu. Tuy nhiên, thay vì thực hiện phân tích bảo mật thực sự, nó cũng chụp ảnh màn hình toàn trang và tải chúng lên aitd[.]one/analyze.php.

Điều này cho thấy tính năng “AI” chỉ là một vỏ bọc để tiếp tục hoạt động giám sát ngầm liên tục của phần mềm gián điệp Chrome này. Người dùng tin rằng họ đang sử dụng một công cụ an ninh mạng để được bảo vệ, nhưng thực tế lại đang bị khai thác thông tin cá nhân một cách nghiêm trọng.

Thu Thập Dữ Liệu Khởi Động và Phân Tích

Ngay khi khởi động, tiện ích mở rộng sẽ ngay lập tức truy vấn các API định vị địa lý IP, thu thập các siêu dữ liệu chi tiết về thiết bị của người dùng. Thông tin này sau đó được mã hóa bằng base64 và gửi đến điểm cuối aitd[.]one/bainit.php.

Điều này báo hiệu sự bắt đầu của quá trình thu thập thông tin người dùng ngay từ giai đoạn đầu. Nó thiết lập nền tảng cho hành vi phần mềm gián điệp Chrome tiếp theo, thu thập dữ liệu nhạy cảm và truyền tải chúng ra bên ngoài hệ thống của người dùng.

Phân Tích Kỹ Thuật và Kỹ Thuật Né Tránh

Mã Hóa và Che Giấu Dữ Liệu Trong Truyền Tải

Phiên bản mới nhất của tiện ích mở rộng độc hại này, v3.1.4, đã được nâng cấp để triển khai các kỹ thuật mã hóa tinh vi. Cụ thể, nó sử dụng mã hóa AES-256-GCM kết hợp với RSA key wrapping.

Kỹ thuật này có tác dụng che giấu và bảo vệ dữ liệu trong quá trình truyền tải từ máy của người dùng đến các máy chủ độc hại. Việc sử dụng mã hóa mạnh mẽ làm phức tạp đáng kể việc phát hiện xâm nhập dựa trên mạng. Nó gây khó khăn cho các hệ thống giám sát và phân tích lưu lượng mạng trong việc nhận diện và giải mã dữ liệu bị đánh cắp.

Quyền Hạn Quá Mức và Tác Động Nghiêm Trọng

Để thực hiện các hành vi độc hại của mình, tiện ích mở rộng yêu cầu một loạt các quyền hạn quá mức và không cần thiết đối với một ứng dụng VPN. Các quyền này bao gồm:

• <all_urls>: Cho phép tiện ích truy cập và tương tác với bất kỳ trang web nào người dùng truy cập.
• tabs: Cấp quyền chụp ảnh màn hình thông qua API captureVisibleTab().
• scripting: Cho phép tiện ích tiêm JavaScript động vào các trang web trong quá trình “quét” rõ ràng.

Các quyền này cho phép tiện ích thực hiện việc rò rỉ dữ liệu cực kỳ nhạy cảm, bao gồm mật khẩu lưu trữ, thông tin cá nhân và ảnh riêng tư. Hành vi này hoàn toàn mâu thuẫn với kỳ vọng về quyền riêng tư và bảo mật của một công cụ VPN, tạo ra một rủi ro bảo mật nghiêm trọng đối với mọi thông tin cá nhân của người dùng.

Tiến Trình Phát Triển và Sự Biến Chất Đáng Báo Động

Ban đầu, FreeVPN.One được biết đến là một VPN dựa trên proxy hợp pháp trong các phiên bản cũ hơn. Tuy nhiên, qua từng bản cập nhật tăng dần, tiện ích này đã biến đổi một cách đáng báo động, trở thành một phần mềm gián điệp Chrome toàn diện.

• v3.0.3 (tháng 4 năm 2023): Phiên bản này đã giới thiệu quyền truy cập <all_urls>, một bước quan trọng cho phép tiện ích mở rộng truy cập vào mọi dữ liệu duyệt web.
• v3.1.1 (tháng 6 năm 2023): Tiếp tục mở rộng các content script và thêm quyền scripting, tất cả dưới vỏ bọc của “cải tiến AI”.
• v3.1.3 (tháng 7 năm 2023): Phiên bản này chính thức kích hoạt tính năng giám sát toàn diện, ngay sau khi tên miền aitd.one được đăng ký.
• v3.1.4: Phiên bản mới nhất này tiếp tục che giấu hoạt động độc hại bằng cách chuyển sang sử dụng scan.aitd.one và tăng cường các lớp mã hóa, làm cho việc phát hiện trở nên khó khăn hơn.

Sự tiến hóa này không phải là ngẫu nhiên; nó cho thấy một kế hoạch có chủ đích và tinh vi nhằm biến tiện ích từ một công cụ hữu ích thành một công cụ gián điệp nguy hiểm. Điều này đặt ra những vấn đề lớn về an ninh mạng và niềm tin của người dùng vào các tiện ích mở rộng trình duyệt.

Dấu Hiệu Thỏa Hiệp (Indicators of Compromise – IOCs)

Để hỗ trợ các nỗ lực phát hiện xâm nhập và phòng thủ chủ động, các chuyên gia bảo mật cần chú ý đến các dấu hiệu thỏa hiệp sau đây liên quan đến hoạt động của phần mềm gián điệp Chrome này:

• Tên miền độc hại:aitd.one
• Tên miền phụ được sử dụng sau này:scan.aitd.one
• Các điểm cuối giao tiếp (endpoints):
  • aitd[.]one/brange.php (để truyền tải ảnh chụp màn hình)
  • aitd[.]one/analyze.php (cho tính năng “AI Threat Detection” giả mạo)
  • aitd[.]one/bainit.php (để gửi dữ liệu khởi động và phân tích ban đầu)

Phản Ứng của Nhà Phát Triển và Bài Học

Khi các nhà nghiên cứu liên hệ, nhà phát triển của FreeVPN.One đã đưa ra nhiều biện hộ. Họ khẳng định rằng các lần chụp ảnh tự động chỉ nhắm mục tiêu vào các tên miền đáng ngờ như một phần của “Background Scanning”. Họ cũng hứa hẹn sẽ có các bản cập nhật trong tương lai bao gồm tùy chọn đồng ý của người dùng.

Tuy nhiên, thử nghiệm độc lập đã xác nhận rằng việc chụp ảnh xảy ra trên cả các trang web hoàn toàn lành tính như Google Sheets và Google Photos. Các tuyên bố về phân tích tạm thời không lưu trữ dữ liệu vẫn không thể kiểm chứng, vì dữ liệu đã được truyền tải ra ngoài đến các máy chủ không nằm dưới sự kiểm soát. Theo báo cáo chuyên sâu từ Koi Security, nhà phát triển được liên kết với phoenixsoftsol.com, một trang Wix sơ sài thiếu các chi tiết công ty đáng tin cậy. Các phản hồi từ nhà phát triển đã ngừng lại khi bị yêu cầu cung cấp các hồ sơ có thể xác minh. Bạn có thể xem báo cáo chi tiết từ Koi Security tại đây.

Sự cố này một lần nữa nhấn mạnh những lỗ hổng nghiêm trọng trong quy trình xem xét tiện ích mở rộng của Chrome. Mặc dù tiện ích này có lịch sử năm năm được tuyên bố về tính toàn vẹn dữ liệu, cả các lần quét tự động và sự giám sát của con người đều đã thất bại trong việc phát hiện sự chuyển đổi từ chức năng VPN lành tính sang một phần mềm gián điệp Chrome độc hại. Các doanh nghiệp và người dùng cá nhân dựa vào các công cụ bên thứ ba như vậy phải đối mặt với các mối đe dọa mạng ngày càng tăng và phức tạp. Điều này thúc đẩy các yêu cầu về nền tảng quản trị nâng cao để giám sát và giảm thiểu triệt để rủi ro bảo mật trên các thị trường ứng dụng.