Phần mềm chặn quảng cáo giả mạo này đã mạo danh tác giả của uBlock Origin

Một tiện ích chặn quảng cáo từng xuất hiện trên Chrome Web Store đã tự nhận mã nguồn do Raymond Hill viết, dù thực chất đó là phần mềm độc hại.

Nếu bạn thường xuyên đọc PCWorld, có lẽ bạn cũng giống tôi: luôn bật trình chặn quảng cáo (dù nghe có hơi mâu thuẫn). Vì thế, bạn có thể đã biết đến “cuộc đối đầu” nhỏ giữa Google Chrome và tiện ích cực kỳ phổ biến uBlock Origin, vốn là một dự án cá nhân do một mình lập trình viên Raymond Hill phát triển. Và chính sự nổi tiếng đó lại dẫn đến một nghịch lý trớ trêu: kẻ gian mạo danh chính tác giả này để phát tán phần mềm độc hại.

Một tiện ích có tên “NexShield Smart Ad Blocker” đã từng được đăng tải trên Chrome Web Store, cho phép người dùng tải và cài đặt trên các trình duyệt dựa trên Chromium như Chrome và Edge. Tiện ích này hiện đã bị gỡ bỏ, trang quảng bá cũng bị xóa, cùng với các quảng cáo liên quan từng xuất hiện trên công cụ tìm kiếm, bao gồm cả Google. Tuy nhiên, trong thời gian tồn tại, NexShield đã được quảng bá là “được tạo bởi Raymond Hill”.

Raymond Hill là lập trình viên đứng sau uBlock Origin – người từng công khai từ chối tuân thủ thay đổi Manifest V3 của Google vì cho rằng nó sẽ làm suy yếu nghiêm trọng khả năng chặn quảng cáo.

Hiện tại, uBlock Origin “đầy đủ” vẫn còn khả dụng trên Firefox và các trình duyệt không dựa trên Chromium. Trong khi đó, người dùng Chrome phải chấp nhận phiên bản uBlock Origin Lite kém hiệu quả hơn. NexShield bị cho là đã sao chép phần lớn mã nguồn từ uBlock Origin Lite, rồi gán sai tác giả cho Raymond Hill để tạo độ tin cậy giả.

Tiện ích NexShield được phát hiện là phần mềm độc hại bởi công ty an ninh Huntress (theo BleepingComputer). Theo Huntress, đây là một hình thức tấn công khá tinh vi. Bên trong file

background.js có chứa cơ chế gửi dữ liệu theo dõi người dùng về máy chủ của kẻ tấn công. Để tránh bị phát hiện sớm, tiện ích này không hoạt động ngay, mà chờ khoảng một giờ sau khi cài đặt.

Khi bắt đầu kích hoạt, tiện ích sẽ làm quá tải trình duyệt bằng cách chạy một vòng lặp gồm một tỷ (đúng nghĩa đen) thao tác, lặp đi lặp lại. Điều này nhanh chóng làm cạn kiệt tài nguyên hệ thống, khiến các tab – rồi cả trình duyệt – bị sập. Sau khi người dùng khởi động lại trình duyệt, họ sẽ nhận được thông báo rằng hệ thống đang gặp lỗi cần sửa (vì vậy một số nhà nghiên cứu gọi chiêu này là “ClickFix” hoặc “CrashFix”).

Lúc này, một đoạn lệnh độc hại sẽ tự động được sao chép, và người dùng được hướng dẫn thực hiện:
“Nhấn Win + R → nhấn Ctrl + V → nhấn Enter.”

Thao tác này sẽ cài đặt ModeloRAT, một trojan truy cập từ xa nguy hiểm, cho phép kẻ tấn công:

• Cài thêm công cụ độc hại

• Theo dõi người dùng

• Thay đổi Registry của Windows

• Và thực hiện nhiều hành vi nguy hiểm khác

Theo Huntress, toàn bộ hệ thống này là sản phẩm của một nhóm tấn công có tên “KongTuke”, nhắm mục tiêu đặc biệt vào các mạng doanh nghiệp có giá trị cao.