Chiến dịch tấn công này nhằm vào các nhà phát hành tiện ích trình duyệt trên Chrome Web Store thông qua hình thức phishing và sử dụng quyền truy cập đạt được từ họ để chèn mã độc vào các tiện ích. Mục tiêu là để đánh cắp cookie và token truy cập của người dùng.
 |
Cụ thể, tiện ích bị ảnh hưởng đầu tiên được ghi nhận thuộc sở hữu của hãng bảo mật Cyberhaven, khi một nhân viên của hãng bị lừa và làm mất quyền truy cập vào tay kẻ tấn công, cho phép kẻ xấu phát hành phiên bản độc hại của tiện ích vào ngày 24/12/2024. Phiên bản độc hại của tiện ích có khả năng kết nối tới máy chủ C&C, tải file cấu hình và trích xuất dữ liệu người dùng.
Một số tiện ích mở rộng khác bị ảnh hưởng, gồm có AI Assistant - ChatGPT and Gemini for Chrome; Bard AI Chat Extension; GPT 4 Summary with OpenAI; Search Copilot AI Assistant for Chrome,…
Các tiện ích mở rộng một khi bị ảnh hưởng sẽ có phương thức thực hiện hành vi độc hại theo hướng riêng. Đối với ghi nhận của hãng Cyberhaven, tiện ích độc hại này nhằm vào dữ liệu danh tính, token truy cập của tài khoản Facebook, cụ thể hơn là tài khoản của Facebook Ads.
Theo NCSC, hãng Apache Software Foundation đã phát hành bản vá nhằm sửa ba lỗ hổng ảnh hưởng tới giải pháp MINA, HugeGraph-Server và Traffic Control.
Một trong các lỗ hổng được vá là CVE-2024-52046 (Điểm CVSS: 10.0) gây ảnh hưởng tới giải pháp MINA, cụ thể là trên hàm “ObjectSerializationDecoder” gây ra bởi việc giải tuần tự Java không được bảo mật, qua đó cho phép kẻ tấn công thực thi mã từ xa.
Lỗ hổng thứ hai có mã CVE-2024-43441, là lỗi cho phép kẻ tấn công bỏ qua biện pháp bảo mật xác thực tồn tại trên HugeGraph-Server; xảy ra do logic xác thực không được xử lý đúng cách.
Lỗ hổng thứ ba được vá là CVE-2024-43587 tồn tại trên Software Foundation và là lỗi SQL Injection xảy ra do thiếu sót trong không làm sạch dữ liệu đưa vào trên câu truy vấn SQL, từ đó cho phép kẻ tấn công thực thi lệnh SQL tùy ý thông qua yêu cầu PUT.
Hà An (tổng hợp)
