Wtyczka przeglądarki Chrome do obsługi popularnego serwisu kradnie dane

Wtyczka przeglądarki Chrome do obsługi popularnego serwisu kradnie dane

Badacze bezpieczeństwa odkryli, że wtyczka do przeglądarki Chrome, która wspiera pobieranie plików z popularnego serwisu Mega, jest zainfekowana złośliwym kodem i wykrada dane logowania praz klucze kryptowalut. Mega to znany na całym świecie serwis umożliwiający bezpieczną wymianę plików. Jest to duchowy spadkobierca MegaUpload, stworzony również przez Kim Dotcoma, po zamknięciu przez FBI jego wcześniejszego portalu. Zagrożenie po raz pierwszy odkrył SerHack, badacz i osoba, która miała spory wkład w projekt Monero. Natychmiast poinformował on o swoim odkryciu, co pozwoliło innym specjalistom od bezpieczeństwa podjąć temat i rozpocząć analizę rozszerzenia, by móc podzielić się swoimi raportami i wnioskami.

Wszyscy korzystający z wtyczki serwisu Mega, znajdują się wśród ponad 1,6 miliona zainfekowanych osób i powinni natychmiast pozbyć się tego rozszerzenia.

Rozszerzenie po zainstalowaniu w przeglądarce oczekuje na wpisanie danych logowania do konkretnych stron i serwisów. W tym przypadku chodzi głównie o kradzież kont Amazon, Microsoft, Github i Google, jednakże wtyczka nie ogranicza się tylko do tych czterech. Monitorowane są wszystkie wpisywane hasła w przypadku gdy adres URL zawiera frazę Register lub Login, albo widoczne są zmienne nazwane "username", "email", "user", "login", "usr", "pass", "passwd", albo "password". Jeśli rozszerzenie wykryje jedną z takich form podawanych danych, lub zostaną wykryte wspomniane zmienne, dane uwierzytelniające i wartości zmiennych zostają wysłane do hostowanej na Ukrainie strony https://www.megaopac.host/. To jednak nie wszystko, bo wtyczka nastawiona jest również na kradzież kryptowalut, na co wskazuje monitorowanie adresów pokroju "https://www.myetherwallet.com/*", "https://mymonero.com/*", "https://idex.market/*", które jeśli zostaną wykryte, przesyłają klucze umożliwiające kradzież kryptowalut od użytkowników.

Poprzednia wersja wtyczki nie zawiera złośliwego kodu, co oznacza, że została ona podmieniona niedawno. Badacze sprawdzili również wersję wtyczki do przeglądarki Firefox - w tym przypadku nie znaleźli nic podejrzanego. Szacuje się, że ponad 1,6 miliona użytkowników zostało zainfekowanych, co oznacza bardzo duży zasięg. Każdy kto zainstalował to rozszerzenie powinien natychmiast je usunąć i pozmieniać dane dostępowe, zwłaszcza w portalach bankowych, instytucjach rządowych i sklepach, z których korzysta. W oświadczeniu prasowym firma Mega oznajmiła, że włamano się na ich konto Chrome i badają dokładny przebieg zdarzeń. Firma dodaje również, że Google nie pozwala teraz, by firmy same podpisywały swoje rozszerzenia, polegające jedynie na wewnętrznym podpisie Google przy wgrywaniu wtyczki, co sprawia, że dużo łatwiej o tego typu nadużycia.

 

Komentarze do: Wtyczka przeglądarki Chrome do obsługi popularnego serwisu kradnie dane