Chuyển thẳng đến nội dung chính
Cuộc điều tra về các tiện ích mở rộng giả mạo của Mozilla
Tìm hiểu • Thời gian đọc: 6–8 phút

Hơn 150 tiện ích mở rộng Mozilla giả mạo — Một nền tảng duy nhất và quảng cáo trả phí

Các phương tiện truyền thông đã đổ lỗi cho “những con gấu Nga” về hơn 150 tiện ích mở rộng giả mạo của Mozilla. Kết quả điều tra của chúng tôi cho thấy sự liên quan của cơ sở hạ tầng tại Nigeria (địa chỉ IP 185.208.156.66), các bộ công cụ lừa đảo được tái sử dụng, cũng như cách các bài báo được trả tiền đã góp phần lan truyền thông tin sai lệch này.

Được đăng lần đầu trên Medium — PhishDestroy

Câu chuyện gây hiểu lầm

Một câu chuyện về "Hơn 150 tiện ích mở rộng Mozilla giả mạo" thông tin liên quan đến cái gọi là “dấu vết Nga” đã được các phương tiện truyền thông lớn về tiền điện tử và an ninh lan truyền rộng rãi. Nghe có vẻ kịch tính, nhưng phân tích của chúng tôi cho thấy luận điệu này gây hiểu lầm — và tệ hơn nữa, nó che chở cho những kẻ phạm tội thực sự.

Hơn 150 tiện ích mở rộng chất lượng thấp trên cùng một nền tảng

Tất cả các phần mở rộng trong chiến dịch này là:

  • Không độc đáo, chất lượng kiểu sao chép-dán.
  • Chỉ có logo và tên là khác nhau.
  • Tất cả đều được kết nối với một hệ thống backend duy nhất.
Địa chỉ IP máy chủ phía sau: 185.208.156.66
Miền backend là alladdsite[.]digital/app.php. Hầu hết các tên miền liên quan đến địa chỉ IP này hiện đã ngừng hoạt động, nhưng các kho lưu trữ đã lưu giữ các bản chụp nhanh thông qua Urlscan và WebArchive.

Các hành động của chúng tôi nhằm chống lại chiến dịch này

Với tư cách là một nhóm tình báo về mối đe dọa độc lập chuyên về việc gỡ bỏ các hạ tầng lừa đảo và lừa đảo qua email, chúng tôi:

  • Đã gửi báo cáo trực tiếp đến Mozilla để báo cáo các tiện ích mở rộng độc hại.
  • Đã chuyển lên cấp trên Con dấu, đề nghị sự hỗ trợ chuyên môn nhằm đẩy nhanh quá trình cấm.
  • Đã công bố một báo cáo trên Chainabuse nhằm nâng cao nhận thức của cộng đồng.
  • Đã chèn hàng triệu cụm từ hạt giống trống vào hệ thống quản lý phía sau của những kẻ tấn công nhằm làm ô nhiễm dữ liệu bị đánh cắp.

Tại sao đây không phải là cơ sở hạ tầng “của Nga”

Các tác nhân đe dọa nói tiếng Nga thường sử dụng:

  • Các nền tảng phía máy chủ phân tán (Cloudflare Workers, Firebase, Amazon, các liên kết duy nhất cho từng chiến dịch).
  • Sử dụng các kỹ thuật làm mờ mã và thiết kế dự phòng để tránh các điểm lỗi duy nhất.

Thay vào đó, chiến dịch này đã cho thấy:

  • A Nhà cung cấp dịch vụ lưu trữ web của Nigeria.
  • Các tên miền lân cận có liên quan đến các vụ lừa đảo ngân hàng, ví tiền điện tử giả mạo và các vụ lừa đảo giao hàng giả mạo.
  • Một tài khoản Telegram nhận được dữ liệu bị đánh cắp có liên quan đến một Nhà mạng Nigeria.
"Các nhóm hacker Nga xây dựng những hệ thống hạ tầng tinh vi. Trong khi đó, hệ thống này lại rẻ tiền, tập trung và thiếu tính tinh vi — chính xác là những gì chúng ta đã từng thấy trước đây trên các máy chủ của Nigeria."

Vấn đề về quảng cáo trả phí

Việc đặt quảng cáo trên các phương tiện truyền thông trả phí có thể gây ra những hậu quả nghiêm trọng:

  1. Một bài báo có trả tiền trên một ấn phẩm uy tín đã được đăng tải.
  2. Hàng trăm trang web nhỏ, blog và kênh Telegram đã sao chép lại hoặc dịch nội dung này.
  3. Chỉ trong vài ngày, nó đã trở thành một câu chuyện bịa đặt quy mô lớn, tạo ra ảo tưởng về tính xác thực.
"Các nạn nhân nhận ra 'dấu vết của Nga', cho rằng vụ án đã khép lại và ngừng trình báo với cơ quan chức năng. Những tên tội phạm thực sự vẫn thoát khỏi sự trừng phạt."

Ví dụ: Angel Drainer

Tất cả các phương tiện truyền thông lớn đều đăng tải các tiêu đề về "Angel Drainer đã ngừng hoạt động sau khi các nhà phát triển xác định được." Nhưng liệu điều đó có đúng không — hay chỉ là một bài viết được tài trợ khác, được lặp đi lặp lại đến mức trông có vẻ đáng tin cậy? Đối với bọn tội phạm, việc mua bài viết chỉ là chuyện nhỏ; còn đối với các nạn nhân, điều đó thay đổi tất cả.

Các công ty an ninh mạng tự thực hiện các hoạt động quan hệ công chúng

Các công ty an ninh mạng chi hàng chục nghìn đô la để đăng các bài báo về chính họ, các nghiên cứu của họ và tác động của họ. Điều này đặt ra những câu hỏi cơ bản:

  • Tại sao một nhóm an ninh mạng thực sự lại phải trả tiền để được bảo hiểm?
  • Họ có đang cố che giấu dấu vết của hacker thực sự không?
  • Hay lợi dụng danh tính của hacker để tống tiền hoặc giành lợi thế cạnh tranh?
  • Mục đích là để củng cố lòng tin — hay là để thao túng nhận thức nhằm thu lợi?
"Nếu an ninh mạng trở thành một trò chơi quan hệ công chúng khác, nơi sự thật bị chi phối bởi ai chi trả nhiều hơn, thì niềm tin vào lĩnh vực này sẽ sụp đổ."

Bằng chứng từ thị trường

Thực tế này không phải là điều bí mật:

  • Trên Fiverr, Upwork và các nền tảng chuyên về quan hệ công chúng, bạn có thể trực tiếp mua các “bài viết khách mời”.
  • Các nhà cung cấp gửi bảng tính Google Sheets chứa thông tin về hàng chục điểm bán hàng và mức giá — bao gồm cả các thương hiệu an ninh mạng nổi tiếng.
  • Một số nơi hứa hẹn: “nếu trả thêm phí, sẽ không có nhãn quảng cáo.”

Các mục tiêu đã nêu ra khi mua bài viết bao gồm:

  • Xây dựng liên kết (SEO).
  • Lưu lượng truy cập và Doanh số.
  • Nhận thức về thương hiệu.
  • Quản lý danh tiếng (che giấu những thông tin tiêu cực).
  • Xác minh xã hội.
  • Danh sách tài liệu cần nộp khi xin thị thực.

Các chi phí được đề cập bao gồm hơn $20,000 để có được các suất phỏng vấn trả phí từ các cơ quan truyền thông lớn về tiền điện tử.

"Đây không phải là báo chí. Đây là một thị trường — nơi uy tín được mua bán."

Kinh doanh so với những lời dối trá

Việc đăng tải nội dung trả phí không phải là hành vi vi phạm pháp luật — đó là hoạt động kinh doanh. Tuy nhiên, khi nó vượt qua ranh giới công bố những tuyên bố sai sự thật, làm lệch hướng các cuộc điều tra và ngụy trang các thông tin quan hệ công chúng thành sự thật, nó sẽ trở thành một phần của vấn đề.

Kết luận

PhishDestroy là một sáng kiến an ninh mạng độc lập, không nhận tiền thù lao, không bán quảng cáo và không nhằm mục đích sinh lời. Sự thật là rõ ràng:

  • Hơn 150 tiện ích mở rộng của Mozilla được định tuyến đến một máy chủ phía sau duy nhất trên nền tảng lưu trữ tại Nigeria.
  • Dữ liệu đã được chuyển đến một tài khoản Telegram ở Nigeria.
  • Câu chuyện về “dấu vết của Nga” là bịa đặt.
  • Các phương tiện truyền thông trả tiền đã thổi phồng câu chuyện bịa đặt này đến mức nó trông giống như sự thật.
  • Ngay cả các công ty an ninh mạng cũng phải chi tiền để quảng bá cho chính mình.
"Bán quảng cáo là kinh doanh. Bán những lời dối trá như thể đó là sự thật là cách che chở cho bọn tội phạm. Và khi ngay cả lĩnh vực an ninh mạng cũng rao bán những câu chuyện được dựng lên, thì nạn nhân — và công lý — sẽ là những người chịu thiệt."

Lưu ý

Chúng tôi không cáo buộc bất kỳ cá nhân, công ty hay cơ quan truyền thông nào. Tất cả các sự kiện đều là thông tin mở và có thể kiểm chứng thông qua các kho lưu trữ công khai, các bản quét và các báo cáo. Câu hỏi thực sự là: Tại sao những câu chuyện như vậy lại bị kiểm soát và thổi phồng? Ai là người được lợi khi một công ty an ninh vô danh công bố một cuộc điều tra quy mô lớn nhưng thiếu chính xác, nhằm đánh lạc hướng sự chú ý khỏi những thủ phạm thực sự?

#MozillaExtensions#PaidMedia#Disinformation#ThreatIntel#OSINT

Chia sẻ cuộc điều tra này

X / Twitter Telegram Reddit LinkedIn

Các cuộc điều tra liên quan

Keitaro TDS: 1.500 tấm bị lộ, không có ứng dụng hợp pháp nào
ĐIỀU TRA
Keitaro TDS: 1.500 tấm bị lộ, không có ứng dụng hợp pháp nào
Phần mềm độc hại Steam BlockBlasters: Sự thiếu trách nhiệm của nền tảng bị phơi bày
ĐIỀU TRA
Phần mềm độc hại Steam BlockBlasters: Sự thiếu trách nhiệm của nền tảng bị phơi bày
Vạch trần những kẻ lừa đảo: Phân tích chi tiết 4 hệ thống hậu trường của các vụ lừa đảo
ĐIỀU TRA
Vạch trần những kẻ lừa đảo: Phân tích chi tiết 4 hệ thống hậu trường của các vụ lừa đảo
Thông báo về tính minh bạch. PhishDestroy là một dự án độc lập, phi thương mại. Các nghiên cứu của chúng tôi có thể phản ánh sự thiên vị vốn có đối với cơ sở hạ tầng lừa đảo và các dịch vụ hỗ trợ cho hoạt động này. Chúng tôi khuyến khích độc giả đánh giá tất cả các tài liệu một cách khách quan và độc lập. Xem toàn văn tuyên bố về tính minh bạch của chúng tôi →