131 Tiện Ích Mở Rộng Chrome Bị Phát Hiện Chiếm Quyền Điều Khiển Trình Duyệt

Trong một phát hiện chấn động mới nhất, các nhà nghiên cứu an ninh mạng từ công ty Socket đã vạch trần chiến dịch spam quy mô lớn sử dụng 131 extension Chrome giả mạo, được thiết kế để "khủng bố" WhatsApp Web bằng cách tự động hóa gửi tin nhắn hàng loạt mà không cần sự đồng ý của người dùng. Những extension này đã lây lan trên Chrome Web Store trong ít nhất 9 tháng qua, ảnh hưởng đến khoảng 20.905 người dùng hoạt động.

Dù không phải là phần mềm độc hại cổ điển (malware), chúng được phân loại là "spamware" cao nguy cơ, vi phạm nghiêm trọng chính sách của Google Chrome Web Store về nội dung trùng lặp và gửi tin nhắn không được phép. Chiến dịch này không chỉ làm ngập WhatsApp bằng spam mà còn có nguy cơ dẫn đến tài khoản bị khóa, đánh cắp dữ liệu liên hệ và lan truyền lừa đảo.

Tổng quan

Các extension này là các bản clone được rebrand từ một công cụ tự động hóa WhatsApp Web duy nhất, chia sẻ codebase, thiết kế và hạ tầng giống hệt nhau. Chúng được phát hành chủ yếu bởi hai tài khoản developer: "WL Extensão" (83 extension) và biến thể "WLExtensao", liên kết với công ty DBX Tecnologia tại Brazil – một chương trình white-label cho phép affiliate rebrand và bán lại.

Chúng ngụy trang dưới dạng công cụ CRM cho WhatsApp, hứa hẹn:

• Tự động hóa tin nhắn hàng loạt (bulk messaging)

• Lên lịch gửi tin

• Quản lý lead, phễu bán hàng trực quan

• Tổ chức dịch vụ khách hàng

Danh sách đầy đủ 131 extension từ báo cáo của Socket (socket.dev/blog).

1. gioekliddhmaanejaaigfokghoakbaco (WaveZap CRM) — 112 users

2. ephcniiibhpjpfpopmajlmbbijfjpdde (WaCelery) — users not shown

3. fbkpechbcdilkoadejmhhamidddhdehc (Top System) — 18 users

4. ehdekncpobdjejklgpgnjgddjdnblmei (Botflow) — 35 users

5. mnbdaobmkdglnmiagimcniebbgebabek (Organize-C) — 5,000 users

6. jelgokpkjcplgcckfiaddlfaaepohfdi (FQ Sales CRM) — 30 users

7. pmnkmmlmbnalnbgidejbcaigahodcppn (Nexus CRM) — 23 users

8. ipaoladdllekkdokdnemkpjfllbgplek (FLEXZAP) — 71 users

9. gmdnikelbimgeamkdhpdblmeekpojeei (BoostChat) — 6 users

10. lbnhlbjmibbmogaefkppniejgaadimdb (WaZap) — 104 users

11. gmmcjjpciafncfbggmjhglocogcaomjb (Convverso CRM) — 44 users

12. hjlpccojkgfkamonoaoakgjjlejonefo (JuriMind CRM) — 24 users

13. chkaiafjmlfakkibkhbfgfklfaachmnc (ZapKan) — 31 users

14. oohihogmmfbinbkgaiglgeabloiehlkk (Zap Vende) — 30 users

15. jgfaobieaananaaahonfomlibhchkndb (AngoSeller) — 13 users

16. jhfdppbgfmmaecdgmboadmkaoifjnfmm (Vou Falar) — 4 users

17. phamkmfigepogfnbkelfmknehfcjjklm (Chatty Seller) — 23 users

18. jheebhheaomejiiilhgkambdgagmhfhe (GFlow Chat) — 33 users

19. foedfcdeffihcmjibkbaffddbjdmkphi (CNW ZAP) — 25 users

20. jhiknfikchccfkhjbfgiolgjofbnmgkd (66seller) — users not shown

21. cbhhipokgmechdbhebbalpckddlnfggm (Doris CRM) — 19 users

22. cjdcglineikacjboikmchenneanfegoo (ZappSeller) — 296 users

23. jmnajdcdmikociadheoaelpejbmoklpm (CliQ+) — users not shown

24. jpfpmealiajnfjmiljnmpiifccfkaimj (À Venda - CRM) — 118 users

25. mcabhobmhiljmdbdigdkkhmhjieecmne (MkZap) — 19 users

26. pedngakkndckkgfpbdmfmokokdepekho (WhatSmart CRM) — 208 users

27. lefiaoknofkoecahieockfmhhklkigng (Sanzap) — 32 users

28. mcjdknfjmchailcpcolfjcogggkjfeij (WaGpro) — 112 users

29. mecaooaegbmnneijdhegohdpcepdbbmk (Lexchatbot) — users not shown

30. mppgfleddoodfifpkjjjdbngnkcfcnde (performancemais) — 241 users

31. igmalhleeaoclfmfdlepdmfnbipkfdfi (Merlix) — 3 users

32. eomlbgjohomgjjigponmbnedpgoegegl (ChatScript) — 6 users

33. mgpdpmifcljbddedpajabokdebnaemon (BC ZAP) — 44 users

34. ofmhnbjohiadaagpeibjlncncllelaoo (Speedsflow CRM) — 5 users

35. ofmoeicegmlaleajnpcbddiaomnfmfkp (DBX Whats) — 1,000 users

36. hnimkbcgbhlllkcnphhhnbilkjngpphh (HGTX Intelligence Starter) — users not shown

37. chdaaapnpinagdkdmkkoandalpdgikdh (Wabin) — 17 users

38. cijeamgoejpplpdnjhejeeahgkbdndni (Zaplyd - CRM) — 449 users

39. pilfkgcokfmoblofkghajplgdpmejjph (FleboLeads) — 24 users

40. pfhinnfbeephmihjjegokhbkaeckdldp (Monchat) — 5 users

41. hpopdnbfeddglbokfbainoglnhhoccpb (Zappower) — 29 users

42. gclllmamoegojkehkkohcfcjdmgikldc (Converzap) — 7 users

43. hnnbkomgboilfohfkpfgnlcpalcnangb (Bot Imobiliário) — 50 users

44. hocidiaogjnnibkadkedncomnglnehjg (Lucra Zap) — users not shown

45. niimbdmbkndibiabpoolngcjipgndijh (Donna CRM) — users not shown

46. okdhkkpmmhinmjipggbfpjbdlckkaemb (Zaplyn) — users not shown

47. mjailbbfmgaoojmjfcacffkdjoccggcf (FácilCRM) — 174 users

48. aippcgffdfgfkihejnjkmkbjoidpemcl (IV-CHAT) — users not shown

49. bajadmkhmpjaiibgakhdgpgllgnhdocc (Talk Zap CRM) — 33 users

50. bmcliihacfhpicjacebpnhliojphelck (Sellerwork) — 15 users

51. mjhdkfgdfcehianhcmjpgpicelgehbbe (Wazapy) — 4 users

52. mhcnngbhhpmlahekicpkpammjibamlip (SALES WHATS) — 213 users

53. jfcekpbabbijmfpcgnnoaekodnagbffd (Super Chat Boom) — users not shown

54. ahpcdagejgoffjpnbkhemojogbocbahe (ChatAds) — 122 users

55. mkbjflhgpickfellipdmpcnhkmmdcojl (YouSeller) — 10,000 users

56. nmnflpdnbpnoojmpmhkkiagmegimlnmm (FLOW 5.0) — users not shown

57. nnmbiaaomdknpkgpklfcekneilkimoal (TELEFON CONECTA) — 13 users

58. bjbdjeijmkjcphbmbiifoeaikbmmgcjp (WA FLASH) — 104 users

59. kekglidebofmckpkojgbogajflnmhega (MovvaSe) — users not shown

60. kfopgoafhfkcpnkiemaldlplpbnengjf (Power Chat) — 25 users

61. nmimioepofbhnidpmebigbahpckjfmbm (Chatfunel) — 54 users

62. clpedhieolcgejlfdnlfadojpaiahlfm (VicChat) — users not shown

63. pmdahofhcbcejdodnmijkhahahegenhi (INWISE CRM) — 13 users

64. hhlbnnfmjdoeegpoihgandmppnmfpeib (ZapForce) — 8 users

65. jleilnojaafdekbbpighcjlcbmfnifim (ZapWild - CRM) — users not shown

66. maopdiomoidladgapokmfggnccpolbol (WhatsTool) — 27 users

67. cgcckeanlanlpaflhipplbhichjejgpk (Lever CRM) — 81 users

68. kleicpolamoebhoajpbhcbmcihbcfobm (Opendoor Solucoes) — users not shown

69. kmhlbkgpafhoojblcfhnljaaighbejfk (Yconecta Latam) — 9 users

70. ifhkkkfghpgbelajdcmkbahibfieffkl (Pipe Loom) — users not shown

71. blpopmcoebhlkolmkjjmplbmlgdhggkk (Connect Castle Solution) — users not shown

72. begphlgbbimlphmfbigfjcadjgplglcg (ATENDO DO ZAP) — 34 users

73. bmeleciepnphilegegcbfjkoolldigid (SYS.AO) — 23 users

74. ebmbbmldkfhfambpnegomegconmhcioe (Evoluwa) — users not shown

75. ddmhkpkipjnhlppmcepckfgjbmljmphm (Maiq) — 7 users

76. jjopcmgbpnfdehgmbioibahegdmmfipm (Zap4u) — users not shown

77. hdonddbodcfamjgmdolkgfgidjfmijmj (Evan’s Atende) — 33 users

78. anoghcdepimhncglcecmgnbchpjfkonp (MestreZap) — users not shown

79. oiekdjliebhjpjknfojajhjebgeedhag (Salesly) — 7 users

80. ohekppieeepibkebnlilabljmnkffmof (ZapLead) — 25 users

81. ohojiglgbgnhaddfhdbkoclekhghncih (Chat Power) — users not shown

82. ekigeoglcndojhecmojcchlhjkbghnmg (FarChat) — 28 users

83. mlladklbipjfnjgjjbkofonboojklnpo (idk Converte) — 6 users

84. edgokehfaihammibdolojeljlccobihi (VEXA INOVAÇÃO) — 2 users

85. eecbjpnghjlfeanpabnebopncfldgkej (Polo Lucrativo) — 6 users

86. namibohbbclnmgbnhegongpbkphhelji (Sell Swift) — 5 users

87. ndilbmjmeggijafdloohkniglleeekff (Red Chat) — 12 users

88. bpinnifebepjjedmficfllcnalhcfgin (Hizi Chat) — users not shown

89. fkcbkncgbolfiijohpipeobfbopidhlg (HBS CONNECT) — users not shown

90. bcabbcjlfhhffnjjfebenghlgfpfobdg (EAI MAIS) — users not shown

91. nfoenldfhfooabacoilpappaoggfmdio (ifteczap CRM) — users not shown

92. bmfeoaglddjefdcdmnaohgjlanmmddog (ByteZap) — 21 users

93. mpcajkogkmebocmcflglhmdekfglallb (Cresça & Apareça CRM) — 4 users

94. ghlcmioojimlkcljjjepehacmgodjfdk (WHATSATLANTIC) — 87 users

95. poemcanhdcddpkjmdgegfiopikiheppd (Alô IA) — 6 users

96. pmpcobjbffgoalkbilglngiomdbpmffd (ZapyPrime) — 16 users

97. lpbhcehpljligfjkcjpfklackjfoomao (WhizzChat) — 28 users

98. lmoncmhkblbcbekgefgpkohplhjkfgbm (RoboZapp) — 68 users

99. cbgbkbafakhpmmdmbaafniijhifoikei (ARX Tecnologia) — 2 users

100. odlgfgmgiinbkobmfhgmphbpfpmofppf (Tryno CRM) — 23 users

101. aekhfllepcmekghgdhgbceojklhhioba (Zaptree) — 8 users

102. ilahhiccjmanljjhebdpoilbfhjgpckp (360° Management CRM) — 22 users

103. agmdligmnfaciogcnokodiaoppflebla (Biz Sale Chat & CRM) — users not shown

104. ahejniinncebcikkjhggpghpjlkgjoab (Wavenda) — 44 users

105. kajbnhbibimhcmkpeokmgdpnhddjncka (GMD-ON) — 20 users

106. kahaenfigldjkcjpnblmhbbkkgfjkhhl (ZapCORR Suite) — 12 users

107. gfkedhmelaeoklidjhdbgpbnjdcacced (Zap Gestor CRM) — 12 users

108. gfplcnpcmgddenkggdapkcokgnkgncfe (Myboot) — users not shown

109. mdchifijocjccoidjcaamcebbehehlgo (Sales Whats Brasil) — 7 users

110. ebjpepgmlmbfgjdefdhobjfnhpgepibd (IMPAR CRM) — 4 users

111. fkkjcbogndlaeofafjjdlckkodpnlafb (Oh Mago CRM para Whatsapp) — users not shown

112. cdjijomcoohechfbkipcibpcakldfceo (DataZap: Automação, CRM) — 30 users

113. egebdiofdkgfhheopdaecggogdeaaepj (TekZap Conversas) — 46 users

114. nhmcfloglkbnliknncnfnlhideepfpfi (Lobo Vendedor) — users not shown

115. fdofhoefhcjllmgcgpdplndaeebfnica (Gana Digital) — users not shown

116. iflolbkfpmpjobjhkamajiekpmepcban (WHATZIP) — 19 users

117. dcgdocmggapfdocodbimagkloacnkbjf (STUDIO ZAP) — 37 users

118. llijmcnalgidmchdckmpimhhffehfbbg (Novo Envio Extensão: CRM) — 110 users

119. eaeiigegpmgegjhcbohmhddjgaldbknn (FortChat) — users not shown

120. fibommgfjfckaingpopkdohoegidkmng (Cash Zapp) — 17 users

121. fgfbklebnaaimlcgmfohnlnkihahlagk (ChatBlink) — 786 users

122. cjiedabijhhefgeonkdodnpaiimfdlpd (Projeta Zap) — 49 users

123. lhngnpihljickmbkflaiobcblmhchpab (Conectadus CRM) — 13 users

124. jpioocoiojejijkbnpljcoonohmechha (Zap4Biz) — users not shown

125. haieolmfmmepgdimacfanclfemodnmep (BYS Convert) — users not shown

126. fjfpgmaghnjnjndiapfmehebankomkmc (Fluxo de Vendas) — 10 users

127. clkibjppajhlbhofckbilehgfjjmljnj (Evento Prime) — users not shown

128. jbkmdabbenlckohhpccihkingphnoaom (WizeChat) — users not shown

129. lepbljmnjohannb (MyZapCRM) — 1 user

130. aogcmjgadbnlpjjcppfcjndmnffbeiid (Vozco Scale) — 10 users

131. dknafkoneldddpgcomhckilhhfodcnkk (Atendi Light) — users not shown

Cách Thức Hoạt Động Của "Spamware"

Sau khi cài đặt, extension tiêm JavaScript độc hại trực tiếp vào web.whatsapp.com:

1. Gắn vào DOM của trang: Chạy song song với script WhatsApp, gọi API nội bộ để gửi tin nhắn tự động.

2. Tải cấu hình từ xa: Service worker fetch file config từ server attacker, cập nhật pattern tin nhắn, throttling để né anti-spam.

3. Tự động hóa không xác nhận: Gửi hàng loạt tin spam, scrape contact, lập lịch – bypass giới hạn rate limit của WhatsApp.rewterz.com

Kirill Boychenko, nhà nghiên cứu Socket, cảnh báo: "Chúng không phải malware cổ điển, nhưng hoạt động như spam automation cao rủi ro, vi phạm quy tắc nền tảng. Mục tiêu là giữ chiến dịch spam chạy liên tục mà không bị phát hiện."

Hoạt động kéo dài từ đầu 2025 đến 17/10/2025, với cập nhật mới liên tục.

Tác Động Nghiêm Trọng

• Người dùng cá nhân/doanh nghiệp: Tài khoản WhatsApp bị spam, khóa vĩnh viễn; dữ liệu liên hệ bị lạm dụng.

• Nền tảng: WhatsApp bị quá tải spam, chủ yếu Brazil – nơi WhatsApp là "vua nhắn tin".

• Liên kết lớn hơn: Kết hợp với worm SORVEPOTEL (Trend Micro, Sophos, Kaspersky), phân phối banking trojan Maverick.

Forbes nhấn mạnh: "Xóa ngay mọi extension trong danh sách nếu bạn dùng WhatsApp!"

Phản Ứng Từ Google Và Các Bên: Chưa có tuyên bố chính thức, nhưng các extension vi phạm Chính sách Spam & Abuse (developer.chrome.com/docs/webstore/program-policies). Một số nguồn cho biết Google đã xóa một phần sau báo cáo

Khuyến nghị

Phía FPT Threat Intelligence đề xuất một số biện pháp kiểm tra và bảo vệ khi gặp tấn công trên

1. Kiểm tra và xóa extension: | 1 | Mở Chrome > chrome://extensions | 2 | Tìm tên như YouSeller, ZapVende... | 3 | Toggle OFF > Remove forbes.com

2. Quét malware: Sử dụng phần mềm AV như: Malwarebytes, ESET hoặc Windows Defender (full scan).

3. Đổi mật khẩu WhatsApp: Kiểm tra tài khoản lạ.

4. Clear cache: chrome://settings/clearBrowserData.

Tham khảo

https://rewterz.com/threat-advisory/131-malicious-whatsapp-extensions-discovered-on-chrome-web-store-active-iocs

https://socket.dev/blog/131-spamware-extensions-targeting-whatsapp-flood-chrome-web-store

https://thehackernews.com/2025/10/131-chrome-extensions-caught-hijacking.html