Dùng phần mềm chặn quảng cáo giả mạo trên Chrome, máy tính bị tê liệt vì mã độc

Chiến thuật "CrashFix": Làm hỏng để lừa sửa

Theo các báo cáo bảo mật gần đây, một tiện ích mở rộng (extension) độc hại có tên NexShield đã xuất hiện trên Chrome Web Store và nhắm vào người dùng trình duyệt Chrome cũng như Edge. Để đánh lừa người dùng, NexShield tự quảng cáo là một trình chặn quảng cáo hiệu suất cao, nhẹ và ưu tiên quyền riêng tư.

Nguy hiểm hơn, để tạo uy tín, kẻ đứng sau NexShield đã mạo danh Raymond Hill - nhà phát triển nổi tiếng của tiện ích uBlock Origin hợp pháp (vốn có hơn 14 triệu người dùng) - làm tác giả của phần mềm giả mạo này,.

Điểm đặc biệt của cuộc tấn công này là thay vì hoạt động ngầm ngay lập tức, phần mềm độc hại sẽ công khai phá hoại trải nghiệm duyệt web của nạn nhân. Các nhà nghiên cứu tại công ty bảo mật Huntress gọi phương thức này là "CrashFix" - một biến thể nguy hiểm hơn của kỹ thuật tấn công ClickFix.

 

Cụ thể, NexShield tạo ra một cuộc tấn công từ chối dịch vụ (DoS) ngay trong trình duyệt bằng cách tạo vô số kết nối cổng 'chrome.runtime' trong một vòng lặp vô hạn. Hậu quả là tài nguyên bộ nhớ bị cạn kiệt, mức sử dụng CPU và RAM tăng vọt, khiến các tab bị đóng băng và trình duyệt hoàn toàn không phản hồi. Cuối cùng, Chrome hoặc Edge sẽ bị treo hoặc sập, buộc người dùng phải tắt ứng dụng thông qua Trình quản lý tác vụ (Task Manager) của Windows.

Cái bẫy sau khi khởi động lại

Sự cố máy tính bị tê liệt thực chất chỉ là bước chuẩn bị tâm lý. Khi người dùng khởi động lại trình duyệt, NexShield sẽ hiển thị một cửa sổ bật lên (popup) gây hiểu lầm, cảnh báo giả về các vấn đề bảo mật đe dọa dữ liệu và đề xuất "quét hệ thống" để khắc phục.

 

Nếu người dùng làm theo hướng dẫn, họ sẽ được yêu cầu thực hiện một thao tác "sửa lỗi" bằng cách sao chép một lệnh (Ctrl+V) và chạy nó trong cửa sổ dòng lệnh của Windows (Command Prompt). Đây chính là bẫy "ClickFix" - lừa người dùng tự tay cài đặt mã độc vào máy của mình thông qua các thông báo lỗi giả mạo.

Lệnh mà người dùng dán vào máy tính thực chất sẽ kích hoạt một kịch bản PowerShell đã được mã hóa, tải xuống và thực thi một phần mềm truy cập từ xa mới có tên ModeloRAT.

Để tránh bị các phần mềm diệt virus phát hiện ngay lập tức, NexShield được thiết kế với độ trễ thực thi là 60 phút sau khi cài đặt. Sau thời gian này, mã độc bắt đầu hoạt động với khả năng:

 

Trinh sát và nhận dạng hệ thống; Thực thi các lệnh PowerShell từ xa và sửa đổi Registry; Duy trì quyền truy cập và tự cập nhật.

Đối với môi trường doanh nghiệp, nhóm tội phạm mạng sử dụng ModeloRAT để thâm nhập sâu hơn vào mạng lưới, trong khi đối với người dùng cá nhân, các máy chủ điều khiển đôi khi trả về thông báo "TEST PAYLOAD", cho thấy tin tặc đang ưu tiên các mục tiêu doanh nghiệp lợi nhuận cao hơn.

Cách xử lý và phòng tránh

 

Hiện tại, NexShield đã bị xóa khỏi Chrome Web Store. Tuy nhiên, nếu bạn đã từng cài đặt tiện ích này, việc chỉ gỡ bỏ (uninstall) tiện ích là chưa đủ.

Theo khuyến cáo từ các chuyên gia, người dùng cần thực hiện quét và làm sạch máy tính kỹ lưỡng vì việc gỡ tiện ích không loại bỏ được các phần mềm độc hại như ModeloRAT hay các tập lệnh đã được cài vào máy.

Tuyệt đối không sao chép và dán các dòng lệnh từ các cửa sổ bật lên trên trình duyệt vào máy tính nếu không hiểu rõ tác dụng của chúng.

 

Trước khi cài đặt, hãy xem xét kỹ ngày tạo, đánh giá và tên nhà phát triển, cảnh giác với các tiện ích yêu cầu quyền truy cập dữ liệu quá mức.

Người dùng cần nâng cao cảnh giác, đặc biệt khi trình duyệt gặp sự cố bất thường kèm theo các yêu cầu thao tác kỹ thuật phức tạp, vì đó có thể là dấu hiệu của một cuộc tấn công mạng.