Microsoft đã gỡ bỏ 119 tiện ích mở rộng khỏi cửa hàng tiện ích bổ sung của Edge, tất cả đều liên quan đến một chiến dịch phần mềm quảng cáo độc hại. Trong một bài báo có tiêu đề “Bên trong StegoAd: Cách chúng tôi phá vỡ một chiến dịch tiện ích mở rộng độc hại quy mô lớn”, các nhà nghiên cứu của Microsoft đã mô tả chi tiết cách họ phát hiện và triệt phá một chiến dịch phần mềm độc hại tinh vi lợi dụng các tiện ích mở rộng trình duyệt để lây nhiễm cho người dùng. Theo Microsoft, chiến dịch này liên quan đến 119 tiện ích mở rộng trình duyệt độc hại đã được 2,6 triệu người dùng tải xuống. Các tiện ích mở rộng này đều hứa hẹn và cung cấp một số chức năng cơ bản: chặn quảng cáo, VPN, trình dịch, trình tải xuống video, máy tính, tiện ích mở rộng mã giảm giá, v.v. Nhưng sau một thời gian, chúng hóa ra là những “phần mềm ngủ đông” và bí mật bắt đầu tải xuống thêm phần mềm độc hại.

Trong số các phần mềm độc hại được tải xuống có phần mềm liên quan đến gian lận quảng cáo, nhưng cũng có các tiện ích mở rộng chạy mã JavaScript tùy ý được đẩy từ máy chủ, đánh cắp thông tin đăng nhập Google và mã xác thực hai yếu tố khi đăng nhập, thu thập thông tin đăng nhập quản trị viên WordPress và đánh cắp hàng loạt cookie để chiếm đoạt phiên. Tên của chiến dịch “StegoAd” được ghép từ hai từ “advertising” (quảng cáo) và “steganography” (kỹ thuật giấu tin), nghĩa là kỹ thuật che giấu bí mật trong những thứ không gây nghi ngờ ngay lập tức. Trong trường hợp này, là giấu mã độc trong hình ảnh. Và không chỉ cố gắng hoạt động âm thầm bằng cách chờ đợi thời gian và giấu mã độc hại bên trong hình ảnh, bọn tội phạm mạng còn bỏ sót một số nạn nhân. Một số tiện ích mở rộng chỉ hoạt động bất thường trong khoảng 10% số lần cài đặt, thực sự thực thi giai đoạn tiếp theo của phần mềm độc hại, trong khi khoảng 90% còn lại sẽ không bị ảnh hưởng (ít nhất là trong lần thử thực thi đó). Và trong một số trường hợp, chúng đã sử dụng lại tên của các tiện ích mở rộng hợp pháp nổi tiếng để tạo thêm một lớp tin cậy.

Các tiện ích mở rộng trình duyệt là nguồn lợi lớn cho tội phạm mạng vì nó tương đương với việc cài đặt một chương trình nhỏ sống bên trong trình duyệt của bạn, có thể theo dõi và báo cáo mọi thứ bạn làm trên internet. Chiến dịch này không tập trung vào việc khai thác lỗ hổng trình duyệt mà chủ yếu là lừa người dùng cài đặt một tiện ích mở rộng trông có vẻ đáng tin cậy, sau đó sử dụng các kỹ thuật che giấu tinh vi để tránh bị phát hiện đủ lâu nhằm xâm nhập hệ thống.

Vậy nên luôn nhớ: Luôn cẩn thận khi tải xuống các tiện ích mở rộng, ngay cả từ các cửa hàng ứng dụng uy tín; Sử dụng giải pháp bảo mật thời gian thực được cập nhật để phát hiện và xóa các tiện ích mở rộng độc hại khỏi thiết bị của bạn và chặn kết nối đến các tên miền và địa chỉ IP độc hại; Xóa các tiện ích mở rộng độc hại đã biết khỏi trình duyệt của bạn...

Theo Pieter Arntz https://www.malwarebytes.com/blog/news/2026/06/119-edge-extensions-promised-useful-tools-instead-downloaded-malware