Các nhà nghiên cứu an ninh mạng đã phát hiện ra một mạng lưới gồm 152 tiện ích mở rộng Google Chrome hoạt động dưới dạng các tiện ích bổ sung hình nền động cho tab mới để phân phối dòng chương trình không mong muốn (PUP).
Cụm này trải dài trên 38 tài khoản nhà xuất bản Chrome Web Store riêng biệt và ba backend thương hiệu: tabplugins[.]com, yowgames[.]com và chromewallpaper[.]com. Tổng cộng, chúng đã được cài đặt 105.000 lần. Tên của một số tiện ích mở rộng này được liệt kê dưới đây:
- Neymar - Football Live Wallpaper (laafpeklcnlfmjaofbndehkjpnccbhek)
- Satoru Gojo Manga Live Wallpaper (mnpacdigbockiilmilhbedciadenfdnb)
- Porsche 911 - Sports Car Live Wallpaper (iedplnnolciaofkakkjmcojnmklpfikg)
- Satoru Gojo Live Wallpaper (ipiabbhciknabpoihaakdahgghllelpj)
- Hello Kitty Wallpapers HD New Tab (hijpkhinofkdobfagfbobnnoihmopgkk)
- Pusheen Cat Wallpapers HD New Tab (famchdjojcnakamhkddkpaglnkonkfnl)
- Peach & Goma Wallpapers HD New Tab (nomekamioepglinefhenifnbegjhfiai)
- Spider-Man Miles Morales Swing Live Wallpaper (jjngbcodoldjmpjpfbhfelaljbdlkekh)
- BMW M3 Neon Night Drive Live Wallpaper (gfikbhpfjldbbikolkcimfgmejhdkjbe)
- BMW Wallpapers (dbiamdajndfmpmmeklcbbnekhkdcakhf)
- Death Note Anime Wallpapers HD New Tab (pkdloppfapenphihgbldhjjlfhgnkmcg)
- Sonic Frontiers Starfall Live Wallpaper (imkepemaflommlonnppjobgdpokbfmoj)
- Tanjiro - Demon Slayer Live Wallpaper (ibglidkppckhminbhbgcajomjplomcka)
- Neymar New Tab Wallpaper (gkbfokaephnaajnmpgiieidpfieamggb)
- Anime Car Drift Live Wallpaper (bcafgkhoifffmnoajkgmbhcojpabjffm)
- Choso Wallpapers New Tab (ojeaociifmdciibodcifjjocdlbjjeep)
- Anime Rain Live Wallpaper (npcghghfkbpgiamoifabankdnmopenni)
- Minecraft Sakura Pond Live Wallpaper (mjdhgndjbajnanfimjipafechjbakdhh)
- Straw Hat Live Wallpaper Ghost of Tsushima (lblgjffllphdepifdkfhlihddckhlkll)
- Zenitsu Agatsuma Live Wallpaper (laeciedchhnmnfhllplcgkfcdbdfgdhn)
"Mọi danh sách trên Chrome Web Store đều tuyên bố rằng nó sẽ không thu thập hoặc sử dụng dữ liệu người dùng, trong khi chính sách bảo mật được liên kết lại thừa nhận điều ngược lại: rằng các tiện ích mở rộng này ghi lại địa chỉ IP, ISP, số lần nhấp chuột, người giới thiệu và chia sẻ dữ liệu đó với Google AdSense, DoubleClick và các đối tác quảng cáo bên thứ ba," nhà nghiên cứu bảo mật Kush Pandya của Socket cho biết.
Phương thức giả mạo lưu lượng truy cập tinh vi
Hơn nữa, một nhóm nhỏ các tiện ích mở rộng được xác định có định nghĩa hai URL được mã hóa cứng trong tệp JavaScript ("js/bg.js"), các URL này được kích hoạt trong quá trình cài đặt và gỡ cài đặt:
- URL cài đặt bao gồm các tham số Urchin Tracking Module (UTM) như "utm_source=google&utm_medium=organic&utm_campaign=tanjiro-demon-slayer-live-wallpaper", từ đó ngụy trang việc tiện ích mở rộng mở một tab khi cài đặt như một tìm kiếm "tự nhiên" (organic).
- URL gỡ cài đặt là một trình bao bọc chuyển hướng google.com/url nhằm giả mạo việc gỡ cài đặt như một hoạt động Tìm kiếm Google thực sự.
Tìm kiếm tự nhiên (Organic search) trên các công cụ tìm kiếm như Google đề cập đến các kết quả không trả tiền trên trang kết quả tìm kiếm (SERP) được tạo ra bởi các thuật toán. Vị trí của chúng dựa trên các thông số như mức độ liên quan, thẩm quyền và tối ưu hóa công cụ tìm kiếm (SEO), và khác với các kết quả được tài trợ.
Socket cho biết ý tưởng đằng sau các tiện ích này là tạo ra tín hiệu giả mạo đó, về cơ bản là thêu dệt nên nguồn gốc lưu lượng truy cập của chính nó.
"Lượt truy cập đó không phải là một người đã tìm kiếm trên Google; đó là tiện ích mở rộng tự mở một tab và gắn nhãn cho nó là 'đến từ tìm kiếm tự nhiên của Google'," công ty giải thích thêm.
"Phản hồi gỡ cài đặt còn tiến xa hơn một bước, bao bọc đích đến theo định dạng google.com/url chính xác mà Google sử dụng cho các lần nhấp vào kết quả tìm kiếm thực, bao gồm các mã thông báo ved và usg đã ký, để lượt truy cập trông giống như một con người đang nhấp vào kết quả của Google."
Mối đe dọa tiềm tàng và nguồn gốc
Các tệp JavaScript cũng được trang bị khả năng tiềm ẩn để liệt kê và xóa mọi cơ sở dữ liệu IndexedDB mà nó có thể tìm thấy khi service worker khởi chạy.
Chiến dịch này được đánh giá là một "hoạt động liên kết lừa đảo phân bổ lưu lượng truy cập và phần mềm quảng cáo thương mại có động cơ tài chính", mặc dù nguồn gốc chính xác của nó vẫn chưa được xác định. Các chỉ số gián tiếp hiện có cho thấy nó có thể bắt nguồn từ Thổ Nhĩ Kỳ.