Tôi chặn quảng cáo (mặc dù nghe có vẻ đạo đức giả) và có lẽ bạn cũng vậy nếu bạn đủ am hiểu công nghệ để thường xuyên đọc PCWorld. Vì vậy, có lẽ bạn đã quen thuộc với vụ lùm xùm nhỏ giữa Google Chrome và uBlock Origin cực kỳ phổ biến, một dự án tâm huyết của một nhà phát triển cá nhân. Sự nổi tiếng đó đã dẫn đến một nghịch lý nhỏ: một kẻ lừa đảo mạo danh nhà phát triển nói trên với một trình chặn quảng cáo giả mạo.
“NexShield Smart Ad Blocker” từng có mặt trên Chrome Web Store, cho phép tải xuống và cài đặt trên các trình duyệt dựa trên Chromium như Chrome và Edge. Hiện tại nó đã bị gỡ bỏ, trang quảng cáo của nó cũng bị xóa cùng với các quảng cáo liên quan đã chạy trên các công cụ tìm kiếm, bao gồm cả Google. Nhưng rõ ràng nó được quảng cáo là “được tạo ra bởi Raymond Hill”. Hill khá nổi tiếng với tư cách là nhà phát triển cá nhân đứng sau uBlock Origin, người đã từ chối tuân thủ các thay đổi về tiện ích mở rộng Manifest V3 của Google, nói rằng điều đó sẽ làm suy yếu chức năng của các hệ thống chặn quảng cáo.
Phiên bản uBlock Origin gốc vẫn có sẵn trên Firefox và các trình duyệt không phải Chromium khác, trong khi những người vẫn sử dụng trình duyệt chuẩn phổ biến nhất sẽ phải chấp nhận phiên bản uBlock Origin Lite kém hiệu quả hơn. NexShield dường như đã sao chép hầu hết mã nguồn của phiên bản Lite và gán sai cho Hill là người phát triển.
NexShield đã bị nhà cung cấp bảo mật Huntress (thông qua BleepingComputer) phát hiện là phần mềm độc hại, họ cho biết tiện ích mở rộng này sử dụng một phương thức tấn công thú vị. Ẩn bên trong tệp background.js là một hệ thống gửi thông tin theo dõi người dùng về cho những người tạo ra nó. Để tránh bị phát hiện ngay lập tức, tiện ích mở rộng này thực sự không hoạt động cho đến một giờ sau đó.
Khi được kích hoạt, tiện ích mở rộng này sẽ làm quá tải trình duyệt bằng cách thực hiện một vòng lặp gồm một tỷ (với chữ “b”) hành động liên tục. Điều này nhanh chóng làm cạn kiệt tài nguyên hệ thống, khiến các tab và cuối cùng là toàn bộ trình duyệt bị sập. Khi người dùng khởi động lại trình duyệt, họ nhận được thông báo về các sự cố cần được khắc phục (do đó có các biệt danh “ClickFix” và “CrashFix” được một số nhà nghiên cứu bảo mật đặt cho). Khi điều đó xảy ra, một đoạn mã sẽ được tự động sao chép, sau đó người dùng được hướng dẫn dán lệnh độc hại vào công cụ Run của Windows: “Mở Win + R, nhấn Ctrl + V, nhấn Enter.”
Thủ đoạn này sẽ cài đặt ModeloRAT, một phần mềm độc hại bao gồm một trojan truy cập từ xa có khả năng cài đặt thêm các công cụ, theo dõi người dùng, sửa đổi registry của Windows và nhiều hành vi xấu khác. Theo Huntress, hệ thống này là sản phẩm của nhóm tin tặc “KongTuke”, nhóm này đang nhắm mục tiêu cụ thể vào các mạng lưới doanh nghiệp có giá trị cao.