Lộ mặt 17 tiện ích trên trình duyệt bán đứng chủ nhân

Hacker tận dụng mọi kẽ hở để phá các lớp bảo mật

Tháng 1 năm 2026 đánh dấu một hồi chuông báo động mới cho cộng đồng người dùng Internet khi Firefox, cùng với Chrome và Edge, chính thức trở thành nạn nhân của một chiến dịch tấn công mạng tinh vi núp bóng các "tiện ích mở rộng ngủ đông" (sleeper extensions).

Nhóm tội phạm mạng mang tên DarkSpectre đã khéo léo cài cắm các mã độc vào những tiện ích có vẻ ngoài vô hại, hoạt động bình thường trong nhiều năm để lấy lòng tin người dùng trước khi bất ngờ "thức giấc" và biến thành những cỗ máy theo dõi, đánh cắp dữ liệu quy mô lớn. Sự việc này không chỉ vạch trần lỗ hổng trong cơ chế kiểm duyệt của các kho ứng dụng lớn mà còn đặt hàng triệu người dùng vào tình thế rủi ro, buộc chúng ta phải thay đổi hoàn toàn tư duy về sự an toàn trên không gian mạng.

Bóng ma DarkSpectre và kỹ thuật "giấu dao trong ảnh" đầy toan tính

Câu chuyện bắt đầu nóng lên từ tháng 12 năm 2025, khi các chuyên gia bảo mật phát hiện ra những dấu hiệu bất thường từ chiến dịch ShadyPanda, nơi các tiện ích mở rộng bỗng dưng trở nên hung hãn sau một bản cập nhật ngầm. Tuy nhiên, đó chỉ là bề nổi của tảng băng chìm. Các cuộc điều tra sâu hơn vào đầu năm nay đã vạch trần chân tướng của nhóm tin tặc DarkSpectre cùng hai chiến dịch vệ tinh khác là GhostPoster và Zoom Stealer.

Thủ đoạn của chúng tinh vi đến mức rợn người, đánh vào tâm lý chủ quan của người dùng đối với những công cụ hỗ trợ duyệt web hàng ngày. Thay vì tạo ra các phần mềm độc hại ngay từ đầu, chúng tạo ra hoặc mua lại các tiện ích hợp pháp, duy trì hoạt động sạch sẽ trong thời gian dài để tích lũy lượng người dùng khổng lồ, sau đó mới tung đòn chí mạng.

Điểm đặc biệt khiến chiến dịch GhostPoster trở nên nguy hiểm và khó bị phát hiện nằm ở kỹ thuật "Steganography" – một phương pháp giấu thông tin trong hình ảnh vốn thường thấy trong các tiểu thuyết điệp viên. Cụ thể, nhóm DarkSpectre đã nhúng các đoạn mã JavaScript độc hại vào chính các tệp hình ảnh logo hoặc biểu tượng (icon) của tiện ích.

Trong các phiên bản đầu, chúng giấu mã độc bên trong các tệp PNG tưởng chừng vô hại như logo.png của tiện ích "Free VPN Forever", sử dụng các ký tự đánh dấu đặc biệt để tách dữ liệu hình ảnh khỏi mã lệnh tấn công. Khi trình duyệt tải hình ảnh này lên, đoạn mã độc sẽ được giải mã và âm thầm kích hoạt mà các phần mềm diệt virus thông thường rất khó nhận biết vì chúng chỉ nhìn thấy đó là một tấm ảnh.

Chưa dừng lại ở đó, các biến thể mới hơn của mã độc này còn nâng cấp độ khó lên một tầm cao mới. Thay vì để mã độc ở dạng thô dễ bị các nhà nghiên cứu phát hiện, chúng nhúng các "vũ khí" này vào các hình ảnh ngẫu nhiên nằm sâu trong gói cài đặt của tiện ích, sau đó mới tiến hành giải mã và thực thi ngay tại thời điểm chạy (runtime).

Điều này biến các tiện ích trở thành những "kẻ hai mặt" hoàn hảo: ban ngày là công cụ hỗ trợ đắc lực, ban đêm là gián điệp đánh cắp thông tin. Các nhà nghiên cứu đã tìm thấy thêm 17 tiện ích mở rộng khác liên quan đến nhóm này, nâng tổng số lượt tải xuống bị ảnh hưởng lên hơn 840.000 lần. Đáng sợ hơn, một số tiện ích trong số đó đã tồn tại và hoạt động công khai trên các cửa hàng ứng dụng tới 5 năm trời mà không hề bị phát hiện, cho thấy sự kiên nhẫn và toan tính dài hơi của những kẻ đứng sau.

Ban đầu, DarkSpectre nhắm mục tiêu vào người dùng Microsoft Edge, nhưng khi hạ tầng tấn công đã hoàn thiện, chúng nhanh chóng mở rộng vòi bạch tuộc sang cả Chrome và Firefox. Chúng ngụy trang dưới những cái tên nghe rất thiết thực và hấp dẫn như "Google Translate in Right Click" (Dịch bằng chuột phải), "Ads Block Ultimate" (Chặn quảng cáo tối ưu), "Instagram Downloader" (Tải ảnh Instagram) hay "Youtube Download". Những cái tên này đánh trúng vào nhu cầu phổ biến nhất của người dùng văn phòng và giới trẻ, khiến họ mất cảnh giác và cài đặt mà không mảy may nghi ngờ.

Hệ quả khôn lường và cuộc chiến vệ sinh máy tính cá nhân

Khi đã xâm nhập thành công vào trình duyệt của nạn nhân, những tiện ích này sẽ xé bỏ lớp mặt nạ vô hại. Chúng có khả năng nhìn thấy mọi thứ người dùng làm trên trình duyệt: từ các trang web đã truy cập, lịch sử tìm kiếm cho đến thói quen mua sắm trực tuyến. Dữ liệu này cho phép kẻ tấn công vẽ nên một bức tranh chi tiết đến rùng mình về sở thích, thói quen và đời sống cá nhân của từng nạn nhân.

Nguy hiểm hơn, sự giám sát này không chỉ dừng lại ở việc thu thập dữ liệu để bán quảng cáo. Với quyền truy cập sâu vào trình duyệt, kẻ tấn công hoàn toàn có thể leo thang hành vi để đánh cắp thông tin đăng nhập, chiếm quyền điều khiển phiên làm việc (session hijacking) hoặc thực hiện các cuộc tấn công nhắm vào quy trình giao dịch ngân hàng trực tuyến. Dù hiện tại mục tiêu chính có thể là thu thập dữ liệu, nhưng cánh cửa hậu (backdoor) đã được mở toang, và việc chúng chuyển sang trộm tiền chỉ là vấn đề thời gian.

Mặc dù các ông lớn công nghệ như Google, Microsoft và Mozilla đã có những động thái quyết liệt ngay sau khi nhận được cảnh báo. Các tiện ích độc hại đã bị gỡ bỏ khỏi Chrome Web Store, Microsoft Edge Add-ons và Mozilla Add-ons. Tuy nhiên, cơ chế của các cửa hàng ứng dụng này có một hạn chế chết người: họ có thể chặn người dùng mới tải về, nhưng không thể tự động gỡ bỏ tiện ích đã nằm sẵn trong máy tính của người dùng. Điều này có nghĩa là nếu bạn đã lỡ cài đặt một trong những tiện ích này từ trước, nó vẫn đang âm thầm hoạt động và gửi dữ liệu về máy chủ của DarkSpectre mỗi ngày cho đến khi bạn tự tay xóa nó đi.

Đây là lúc mỗi người dùng cần phải tự trở thành chuyên gia bảo mật cho chính mình. Lời khuyên "chỉ tải từ kho ứng dụng chính chủ" giờ đây đã không còn là tấm khiên an toàn tuyệt đối, bởi chính quy trình kiểm duyệt tự động và thủ công của các nền tảng này cũng đã bị qua mặt. Người dùng cần ngay lập tức rà soát lại toàn bộ danh sách tiện ích đang cài đặt trên trình duyệt của mình.

Để đảm bảo an toàn tuyệt đối, bên cạnh việc gỡ bỏ thủ công, các chuyên gia khuyến cáo người dùng nên thực hiện quét sâu (Deep Scan) toàn bộ hệ thống bằng các phần mềm bảo mật uy tín như Malwarebytes trong trạng thái đóng tất cả trình duyệt. Việc này giúp phát hiện và loại bỏ các tàn dư mã độc có thể còn sót lại trong các thư mục ẩn. Sự việc lần này là một bài học đắt giá về niềm tin trên không gian số: sự tiện lợi đôi khi phải trả giá bằng sự riêng tư, và một tiện ích "miễn phí" có thể đang âm thầm thu phí bằng chính dữ liệu cá nhân của bạn.

Bùi Tú