Hơn 150 tiện ích mở rộng Mozilla giả mạo — Một nền tảng duy nhất và quảng cáo trả phí
Các phương tiện truyền thông đã đổ lỗi cho “những con gấu Nga” về hơn 150 tiện ích mở rộng giả mạo của Mozilla. Kết quả điều tra của chúng tôi cho thấy sự liên quan của cơ sở hạ tầng tại Nigeria (địa chỉ IP 185.208.156.66), các bộ công cụ lừa đảo được tái sử dụng, cũng như cách các bài báo được trả tiền đã góp phần lan truyền thông tin sai lệch này.
Câu chuyện gây hiểu lầm
Một câu chuyện về "Hơn 150 tiện ích mở rộng Mozilla giả mạo" thông tin liên quan đến cái gọi là “dấu vết Nga” đã được các phương tiện truyền thông lớn về tiền điện tử và an ninh lan truyền rộng rãi. Nghe có vẻ kịch tính, nhưng phân tích của chúng tôi cho thấy luận điệu này gây hiểu lầm — và tệ hơn nữa, nó che chở cho những kẻ phạm tội thực sự.
Hơn 150 tiện ích mở rộng chất lượng thấp trên cùng một nền tảng
Tất cả các phần mở rộng trong chiến dịch này là:
- Không độc đáo, chất lượng kiểu sao chép-dán.
- Chỉ có logo và tên là khác nhau.
- Tất cả đều được kết nối với một hệ thống backend duy nhất.
185.208.156.66Miền backend là
alladdsite[.]digital/app.php. Hầu hết các tên miền liên quan đến địa chỉ IP này hiện đã ngừng hoạt động, nhưng các kho lưu trữ đã lưu giữ các bản chụp nhanh thông qua Urlscan và WebArchive. Các hành động của chúng tôi nhằm chống lại chiến dịch này
Với tư cách là một nhóm tình báo về mối đe dọa độc lập chuyên về việc gỡ bỏ các hạ tầng lừa đảo và lừa đảo qua email, chúng tôi:
- Đã gửi báo cáo trực tiếp đến Mozilla để báo cáo các tiện ích mở rộng độc hại.
- Đã chuyển lên cấp trên Con dấu, đề nghị sự hỗ trợ chuyên môn nhằm đẩy nhanh quá trình cấm.
- Đã công bố một báo cáo trên Chainabuse nhằm nâng cao nhận thức của cộng đồng.
- Đã chèn hàng triệu cụm từ hạt giống trống vào hệ thống quản lý phía sau của những kẻ tấn công nhằm làm ô nhiễm dữ liệu bị đánh cắp.
Tại sao đây không phải là cơ sở hạ tầng “của Nga”
Các tác nhân đe dọa nói tiếng Nga thường sử dụng:
- Các nền tảng phía máy chủ phân tán (Cloudflare Workers, Firebase, Amazon, các liên kết duy nhất cho từng chiến dịch).
- Sử dụng các kỹ thuật làm mờ mã và thiết kế dự phòng để tránh các điểm lỗi duy nhất.
Thay vào đó, chiến dịch này đã cho thấy:
- A Nhà cung cấp dịch vụ lưu trữ web của Nigeria.
- Các tên miền lân cận có liên quan đến các vụ lừa đảo ngân hàng, ví tiền điện tử giả mạo và các vụ lừa đảo giao hàng giả mạo.
- Một tài khoản Telegram nhận được dữ liệu bị đánh cắp có liên quan đến một Nhà mạng Nigeria.
Vấn đề về quảng cáo trả phí
Việc đặt quảng cáo trên các phương tiện truyền thông trả phí có thể gây ra những hậu quả nghiêm trọng:
- Một bài báo có trả tiền trên một ấn phẩm uy tín đã được đăng tải.
- Hàng trăm trang web nhỏ, blog và kênh Telegram đã sao chép lại hoặc dịch nội dung này.
- Chỉ trong vài ngày, nó đã trở thành một câu chuyện bịa đặt quy mô lớn, tạo ra ảo tưởng về tính xác thực.
Ví dụ: Angel Drainer
Tất cả các phương tiện truyền thông lớn đều đăng tải các tiêu đề về "Angel Drainer đã ngừng hoạt động sau khi các nhà phát triển xác định được." Nhưng liệu điều đó có đúng không — hay chỉ là một bài viết được tài trợ khác, được lặp đi lặp lại đến mức trông có vẻ đáng tin cậy? Đối với bọn tội phạm, việc mua bài viết chỉ là chuyện nhỏ; còn đối với các nạn nhân, điều đó thay đổi tất cả.
Các công ty an ninh mạng tự thực hiện các hoạt động quan hệ công chúng
Các công ty an ninh mạng chi hàng chục nghìn đô la để đăng các bài báo về chính họ, các nghiên cứu của họ và tác động của họ. Điều này đặt ra những câu hỏi cơ bản:
- Tại sao một nhóm an ninh mạng thực sự lại phải trả tiền để được bảo hiểm?
- Họ có đang cố che giấu dấu vết của hacker thực sự không?
- Hay lợi dụng danh tính của hacker để tống tiền hoặc giành lợi thế cạnh tranh?
- Mục đích là để củng cố lòng tin — hay là để thao túng nhận thức nhằm thu lợi?
Bằng chứng từ thị trường
Thực tế này không phải là điều bí mật:
- Trên Fiverr, Upwork và các nền tảng chuyên về quan hệ công chúng, bạn có thể trực tiếp mua các “bài viết khách mời”.
- Các nhà cung cấp gửi bảng tính Google Sheets chứa thông tin về hàng chục điểm bán hàng và mức giá — bao gồm cả các thương hiệu an ninh mạng nổi tiếng.
- Một số nơi hứa hẹn: “nếu trả thêm phí, sẽ không có nhãn quảng cáo.”
Các mục tiêu đã nêu ra khi mua bài viết bao gồm:
- Xây dựng liên kết (SEO).
- Lưu lượng truy cập và Doanh số.
- Nhận thức về thương hiệu.
- Quản lý danh tiếng (che giấu những thông tin tiêu cực).
- Xác minh xã hội.
- Danh sách tài liệu cần nộp khi xin thị thực.
Các chi phí được đề cập bao gồm hơn $20,000 để có được các suất phỏng vấn trả phí từ các cơ quan truyền thông lớn về tiền điện tử.
Kinh doanh so với những lời dối trá
Việc đăng tải nội dung trả phí không phải là hành vi vi phạm pháp luật — đó là hoạt động kinh doanh. Tuy nhiên, khi nó vượt qua ranh giới công bố những tuyên bố sai sự thật, làm lệch hướng các cuộc điều tra và ngụy trang các thông tin quan hệ công chúng thành sự thật, nó sẽ trở thành một phần của vấn đề.
Kết luận
PhishDestroy là một sáng kiến an ninh mạng độc lập, không nhận tiền thù lao, không bán quảng cáo và không nhằm mục đích sinh lời. Sự thật là rõ ràng:
- Hơn 150 tiện ích mở rộng của Mozilla được định tuyến đến một máy chủ phía sau duy nhất trên nền tảng lưu trữ tại Nigeria.
- Dữ liệu đã được chuyển đến một tài khoản Telegram ở Nigeria.
- Câu chuyện về “dấu vết của Nga” là bịa đặt.
- Các phương tiện truyền thông trả tiền đã thổi phồng câu chuyện bịa đặt này đến mức nó trông giống như sự thật.
- Ngay cả các công ty an ninh mạng cũng phải chi tiền để quảng bá cho chính mình.
Lưu ý
Chúng tôi không cáo buộc bất kỳ cá nhân, công ty hay cơ quan truyền thông nào. Tất cả các sự kiện đều là thông tin mở và có thể kiểm chứng thông qua các kho lưu trữ công khai, các bản quét và các báo cáo. Câu hỏi thực sự là: Tại sao những câu chuyện như vậy lại bị kiểm soát và thổi phồng? Ai là người được lợi khi một công ty an ninh vô danh công bố một cuộc điều tra quy mô lớn nhưng thiếu chính xác, nhằm đánh lạc hướng sự chú ý khỏi những thủ phạm thực sự?



