16 popularnych rozszerzeń Chrome, w tym "Adblock dla Chrome", zostało przejętych w wyniku masowego cyberataku
Poważne naruszenie bezpieczeństwa naraziło na niebezpieczeństwo ponad 3,2 miliona użytkowników poprzez sieć złośliwych rozszerzeń przeglądarki. Rozszerzenia te, które celowo wyglądają na legalne, wstrzykują szkodliwe skrypty, kradną dane, a nawet angażują się w oszustwa w wyszukiwarkach. Badacze ustalili, że że atak został przeprowadzony poprzez naruszenie łańcucha dostaw, w którym atakujący infiltrowali zaufane rozszerzenia i wprowadzali złośliwe aktualizacje, nawet nie zdając sobie z tego sprawy.
Rozszerzenia, o których mowa, zostały pierwotnie zaprojektowane do blokowania reklam, klawiatur emoji i przechwytywania ekranu, by wymienić tylko kilka. Aktualizacje wprowadzały jednak zaciemnione skrypty, które umożliwiały nieautoryzowaną eksfiltrację danych, modyfikację żądań HTTP i wstrzykiwanie reklam na strony internetowe. Wszystkie te zmiany pozostały niezauważone przez użytkowników, którzy wcześniej przyznali uprawnienia do tych rozszerzeń, co pozwoliło atakującym na manipulowanie aktywnością internetową w czasie rzeczywistym. Wielu ekspertów ds. bezpieczeństwa zwróciło uwagę, że uprawnienia przyznane tym rozszerzeniom, w tym dostęp do hosta i kontrola skryptów, czyniły je szczególnie niebezpiecznymi.
Oto pełna lista wszystkich 16 rozszerzeń Chrome, których dotyczy problem:
- Blipshot (zrzuty ekranu całej strony jednym kliknięciem)
- Emojis - klawiatura emoji
- WAToolkit
- Zmieniacz kolorów dla YouTube
- Efekty wideo dla YouTube i wzmacniacz dźwięku
- Motywy dla Chrome i YouTube™ Obraz w obrazie
- Mike Adblock dla Chrome | Chrome-Werbeblocker
- Odświeżanie stron
- Wistia Video Downloader
- Super tryb ciemny
- Klawiatura emoji Emoji dla Chrome
- Adblocker dla Chrome - NoAds
- Adblock for You
- Adblock dla Chrome
- Nimble Capture
- KProxy
Dochodzenia wykazały, że atak ten dotyczy zainfekowanych kont deweloperów. Niektórzy deweloperzy nieświadomie przekazali kontrolę nad swoimi rozszerzeniami atakującym, którzy następnie dystrybuowali złośliwe aktualizacje za pośrednictwem oficjalnych sklepów z rozszerzeniami do przeglądarek. Infrastruktura tego ataku wydaje się być powiązana z wcześniej znanymi operacjami phishingowymi. Aktorzy zagrożeń osiągnęli to poprzez wykorzystanie uprawnień, takich jak "host_permissions", "scripting" i "declarativeNetRequest".
Innym niepokojącym aspektem tej kampanii jest jej podobieństwo do wcześniejszych ataków w łańcuchu dostaw, w których atakujący wykorzystują zaufane oprogramowanie do rozprzestrzeniania złośliwego oprogramowania. Wykorzystanie mechanizmów aktualizacji rozszerzeń przeglądarki pozwala atakującym ominąć tradycyjne środki bezpieczeństwa.
Na razie zidentyfikowane rozszerzenia zostały usunięte z oficjalnych platform. Niezależnie od tego, użytkownikom zaleca się, aby nie polegali wyłącznie na pozytywnych recenzjach rozszerzeń przed zainstalowaniem nowych rozszerzeń.
