Hơn 2,3 triệu người sử dụng trình duyệt Chrome và Microsoft Edge đã trở thành đối tượng của một chiến dịch phần mềm độc hại phức tạp mang tên RedDirection. Các tiện ích mở rộng, thoạt nhìn vô thưởng vô phạt—ví dụ như bàn phím biểu tượng cảm xúc, công cụ chọn màu sắc, ứng dụng điều chỉnh tốc độ video hoặc VPN miễn phí—thực chất là phương tiện được sử dụng để theo dõi, kiểm soát trình duyệt và gửi dữ liệu về máy chủ do tin tặc quản lý.
Điều đáng lo ngại là, nhiều tiện ích trong số này thậm chí còn được Google và Microsoft gắn huy hiệu “Đã xác minh” hoặc “Nổi bật,” khiến người dùng dễ dàng rơi vào bẫy. Chiến dịch này minh chứng cho sự nguy hiểm tiềm ẩn khi mã độc được cập nhật thông qua các phiên bản nâng cấp tự động của tiện ích, lợi dụng chính cơ chế bảo mật mà người dùng tin tưởng.
Chiến dịch RedDirection: Phân tích cách thức hoạt động và điểm yếu an ninh
RedDirection là một chiến dịch được tổ chức bài bản, sử dụng một hệ thống điều khiển trung tâm (Command & Control) để quản lý hơn 18 tiện ích mở rộng độc hại. Ban đầu, mỗi tiện ích này đều được phát hành với các chức năng hoàn toàn bình thường, nhưng mã độc sẽ được thêm vào thông qua các bản cập nhật sau khi đạt được một lượng người dùng nhất định.
Các tiện ích bị tấn công thuộc nhiều loại phổ biến, bao gồm:
- Công cụ chọn màu
- Bàn phím emoji
- Giao diện tối
- VPN không tính phí
- Các bộ khuếch đại âm lượng
- Trình điều khiển tốc độ video
Khi đã cài đặt và cập nhật thành công, các tiện ích này có khả năng kiểm soát việc điều hướng trang web, ghi lại các hoạt động duyệt web và gửi thông tin về một máy chủ từ xa. Đặc biệt đáng ngại là toàn bộ quá trình này diễn ra một cách bí mật, không yêu cầu bất kỳ sự tương tác hoặc xác nhận nào từ người dùng.
Lỗ hổng nghiêm trọng nằm ở quy trình kiểm duyệt tiện ích của Cửa hàng Chrome trực tuyến của Google và Cửa hàng Tiện ích bổ sung của Microsoft Edge. Mặc dù có các biện pháp thẩm định, một số tiện ích vẫn vượt qua được các kiểm tra và nhận được chứng nhận, hoạt động trong nhiều năm trước khi bị phát hiện.
Cảnh báo và hướng dẫn bảo vệ người dùng
Sự kiện RedDirection gióng lên hồi chuông cảnh báo về sự mong manh của an ninh trình duyệt hiện đại. Để tự bảo vệ bản thân, người dùng nên:
- Loại bỏ ngay lập tức các tiện ích không rõ nguồn gốc hoặc có dấu hiệu đáng ngờ.
- Xóa tất cả dữ liệu duyệt web sau khi đã gỡ bỏ tiện ích.
- Sử dụng phần mềm quét phần mềm độc hại đáng tin cậy để kiểm tra toàn bộ hệ thống.
- Không cài đặt tiện ích chỉ vì nó được gắn nhãn “Đã xác minh” hoặc có đánh giá cao, mà cần xem xét kỹ nguồn phát hành và các quyền truy cập mà nó yêu cầu.
Đồng thời, các nền tảng lớn như Google và Microsoft cần xem xét lại các quy trình phê duyệt và giám sát tiện ích, tăng cường phân tích hành vi và đưa ra cảnh báo kịp thời khi có dấu hiệu bất thường.
RedDirection không chỉ là một chiến dịch tấn công mà còn là một lời cảnh báo về những nguy cơ tiềm ẩn từ các tiện ích quen thuộc, tưởng chừng như vô hại. Trong khi chờ đợi các nền tảng đưa ra các giải pháp quyết liệt hơn, chính người dùng phải đóng vai trò là lớp phòng vệ đầu tiên cho bản thân trước những mối đe dọa trên mạng ngày càng tinh vi.
