Ponad 100 złośliwych rozszerzeń w Chrome. Sprawdź listę

W oficjalnym sklepie z wtyczkami Google Chrome znajdowały się rozszerzenia, które stanowiły zagrożenie dla użytkowników. Badacze cyberbezpieczeństwa zwracają uwagę, iż ponad 100 dodatków obecnych w Chrome Web Store zostało opracowanych w taki sposób, żeby potajemnie zbierać dane, a także wykorzystywać przeglądarkę do reklamy. Co gorsza, nie są to pojedyncze przypadki, lecz dobrze skoordynowana kampania wykorzystująca wspólną infrastrukturę.

Odkrycia dokonała firma Socket, której analitycy zauważyli, że wszystkie podejrzane rozszerzenia komunikują się z tym samym źródłem, czyli serwerami zarządzającymi złośliwymi funkcjami. W praktyce oznacza to, że niezależnie jaką kategorię reprezentuje dane rozszerzenie, ma działać według tego samego schematu i przekazywać zebrane dane do jednego miejsca.

Różne nazwy, spora liczba dodatków

Dodatki nosiły różne nazwy i były publikowane przez różne konta deweloperskie, tak aby nie wzbudzać podejrzeń. Wśród nich znalazły się m.in. narzędzia powiązane z Telegramem, gry przeglądarkowe, wtyczki związane z platformami taimi jak YouTube czy TikTok, a także rozszerzenia do tłumaczenia tekstu oraz inne pozornie przydatne narzędzia.

W oficjalnym sklepie z wtyczkami Google Chrome znajdowały się rozszerzenia, które stanowiły zagrożenie dla użytkowników. Badacze cyberbezpieczeństwa zwracają uwagę, iż ponad 100 dodatków obecnych w Chrome Web Store zostało opracowanych w taki sposób, żeby potajemnie zbierać dane, a także wykorzystywać przeglądarkę do reklamy.

Źródło: Socket

Analiza wykazała, że infrastruktura wykorzystywana w kampanii opiera się na serwerach VPS, które obsługują różne elementy ataku, od przejmowania sesji użytkownika, przez zbieranie danych identyfikacyjnych. Były one obsługiwane zdalnie i generowały przychody z reklam. W kodzie części rozszerzeń znaleziono również ślady sugerujące powiązania z rosyjskim modelem malware-as-a-service, czyli udostępniania złośliwego oprogramowania innym podmiotom jako usługi.

Różne mechanizmy, ten sam cel

Mechanizmy działania tych dodatków są zróżnicowane, ale mają wspólny cel, którym jest przejęcie kontroli nad danymi użytkownika. Najliczniejsza grupa rozszerzeń ingeruje bezpośrednio w interfejs przeglądarki, wstrzykując zmodyfikowany kod HTML. Inne korzystają z funkcji umożliwiających dostęp do konta Google, by pozyskać podstawowe informacje o użytkowniku, takie jak adres e-mail, nazwa profilu czy identyfikator konta. Szczególnie niebezpieczne jest przechwytywanie tokenów OAuth2, które pozwalają aplikacjom działać bez konieczności ponownego logowania.

Niektóre rozszerzenia posiadają również ukryte funkcje uruchamiane automatycznie wraz ze startem przeglądarki. Działają one jak tylne furtki, umożliwiając zdalne wykonywanie poleceń lub otwieranie dowolnych stron internetowych bez wiedzy użytkownika. W skrajnych przypadkach dochodzi nawet do przejmowania sesji komunikatorów.

Jeden z analizowanych dodatków potrafił cyklicznie odczytywać dane sesji z wersji webowej Telegrama, a następnie przesyłać je na zewnętrzny serwer. Co więcej, istniała możliwość nadpisania danych sesji innymi informacjami, co w praktyce pozwalało na przełączenie użytkownika na inne konto bez jego świadomości.

Wtyczki ingerujące w zabezpieczenia przeglądarki

Niestety zdarzały się wtyczki ingerujące w zabezpieczenia Google Chrome i umieszczające reklamy popularnych serwisów internetowych. Część infrastruktury była przygotowana z wyprzedzeniem, co sugeruje, że kampania mogła być rozwijana etapami.

Firma Socket poinformowała o sprawie Google, jednak w momencie publikacji raportu wiele z opisanych rozszerzeń nadal było dostępnych w oficjalnym sklepie. Zapewne będą stopniowo kasowane ze sklepu.

Jak się chronić

Specjaliści ds. bezpieczeństwa zalecają, żeby użytkownicy dokładnie sprawdzili listę zainstalowanych rozszerzeń i usunęli wszelkie podejrzane dodatki. Warto również zwracać uwagę na uprawnienia, jakich wymagają instalowane narzędzia, oraz ograniczać ich liczbę do absolutnego minimum.

Pełny raport i lista znajduje się tutaj.