Koi Security vừa phát hiện một chiến dịch tấn công mạng quy mô lớn mang tên ShadyPanda, nhắm vào người dùng Chrome và Edge với hơn 4,3 triệu thiết bị bị ảnh hưởng. Điểm đáng lo ngại là nhóm tấn công đã kiên trì “nằm vùng” suốt 5 năm trước khi kích hoạt mã độc.
Theo báo cáo, từ năm 2018 có khoảng 145 tiện ích mở rộng – gồm 125 trên Microsoft Edge và 20 trên Google Chrome – được tung lên kho ứng dụng với chức năng hoàn toàn bình thường. Chúng cung cấp hình nền, tiện ích năng suất,… để xây dựng uy tín và thu hút người dùng.
Đến năm 2023, chiến dịch bắt đầu chuyển hướng. Ở giai đoạn đầu, các tiện ích lén chèn mã theo dõi vào liên kết mua sắm tại Amazon, eBay, Booking.com nhằm chiếm đoạt tiền hoa hồng. Sau đó, chúng tiếp tục leo thang bằng cách đánh cắp cookie phiên làm việc và điều hướng người dùng đến các trang web độc hại.
Đến năm 2025, các tiện ích bị cài cắm khả năng thực thi mã từ xa (RCE), biến trình duyệt thành backdoor để truy cập lịch sử duyệt web, theo dõi thao tác chuột và lấy dữ liệu lưu trữ cục bộ.
Google đã gỡ bỏ toàn bộ tiện ích liên quan khỏi Chrome Web Store, trong khi một số vẫn tồn tại trên kho ứng dụng Edge. Người dùng được khuyến cáo kiểm tra lại danh sách tiện ích đã cài và gỡ bỏ ngay bất kỳ tiện ích lạ, ít dùng hoặc đòi thêm quyền truy cập bất thường để đảm bảo an toàn.
