Popularne dodatki do przeglądarek stały się trojanami

Szukając drogi do skutecznego zainfekowania swoich ofiar i wykradzenia danych, atakujący mogą zdecydować się na skorzystanie z możliwości sklepów z rozszerzeniami do przeglądarek. Na łamach naszego portalu wskazywaliśmy, jak hakerzy podszywali się pod aplikacje mające zapewniać dostęp do ChataGPT, oraz działania północnokoreańskich hakerów w tym zakresie.

Odnotowaliśmy również przypadek, gdy phishing wymierzony w jednego z twórców dodatków doprowadził do przejęcia przez cyberprzestępców kontroli nad aktualizacjami. W wyniku śledztwa ustalono, że zainfekowanych zostało aż 30 dodatków.

Rozszerzenie z niespodzianką

Co ciekawe, atakujący za pomocą rozszerzeń do przeglądarek przestępcy potrafią też długoterminowo zaplanować swoje działania. Jak ujawnili eksperci cyberbezpieczeństwa z Koi Security, taka historia ma miejsce z dodatkiem„Color Picker, Eyedropper – Geco colorpick” przeznaczonej dla przeglądarki Chrome. 

Rozszerzenie było dostępne od listopada 2021. W ciągu blisko 4 lat pobrało je co najmniej 100 tys. użytkowników, jego ocena wynosiła 4,2/5, zaś Google nadało mu status „Polecany”. Jednakże w pierwszych dniach lipca opublikowano aktualizację dodającą nową funkcję: śledzenie tego, co robi użytkownik w przeglądarce.

Co istotne, autor nie zlikwidował oryginalnego kodu, więc dla przeciętnego użytkownika dodatek działa bez zmian. Tymczasem w tle:

• monitoruje on, jakie strony są odwiedzane,
• przesyła adresy na dedykowany serwer,
• jeżeli ma nastąpić przekierowanie, odbiera polecenie z serwera i podmienia docelową stronę w przeglądarce.

Taki mechanizm umożliwia wykrywanie przez autora rozszerzenia, kiedy następuje łączenie np. z bankowością elektroniczną. Dzięki temu podstawienie odpowiednio fałszywej wersji w celu przechwycenia danych jest realnym zagrożeniem. 

Mechanika aktualizacji krytycznym problemem

W ten sam sposób funkcjonuje 17 innych zidentyfikowanych aplikacji – część z nich jest przeznaczonych na Chrome, zaś pozostałe dla Edge’a. Największy problem w całej kampanii, nazwanej przez Koi Security„RedDirection”, paradoksalnie kryje się w mechanizmach obu przeglądarek. Użytkownicy nie wiedzą bowiem, że zawarte w nich rozszerzenia aktualizują się – o ile twórcy nie dodadzą odpowiedniego monitu.

W ten sposób, w sumie aż 2,3 mln użytkowników obu przeglądarek może nie mieć pojęcia, że zostało zainfekowanych przez jedno z rozszerzeń. Tym bardziej, że ze strony „zaufanego” dodatku z zakresu pogody, emoji czy komunikatorów, z którego korzystają tysiące osób, raczej nie należałoby się spodziewać zagrożenia.

Mechanizmy mające zapewnić bezpieczeństwo użytkowników zwiększyły zasięg złośliwego oprogramowania. To nie jest skrajny przypadek, to katastrofa w łańcuchu dostaw.
Koi Security

Usunąć dodatki, wyczyścić dane

W ramach kampanii„RedDirection” 10 dodatków do Chrome zostało zainfekowanych złośliwym kodem. Są to:

• Emoji keyboard online — copy&past your emoji.
• Free Weather Forecast
• Video Speed Controller — Video manager
• Unlock Discord — VPN Proxy to Unblock Discord Anywhere
• Dark Theme — Dark Reader for Chrome
• Volume Max — Ultimate Sound Booster
• Unblock TikTok — Seamless Access with One-Click Proxy
• Unlock YouTube VPN
• Color Picker, Eyedropper — Geco colorpick
• Weather

Z kolei lista rozszerzeń dla przeglądarki Edge jest nieco krótsza – obejmuje bowiem 8 pozycji:

• Unlock TikTok
• Volume Booster — Increase your sound
• Web Sound Equalizer
• Header Value
• Flash Player — games emulator
• Youtube Unblocked
• SearchGPT — ChatGPT for Search Engine
• Unlock Discord

Eksperci z Koi Security zalecają natychmiastowe usunięcie wskazanych dodatków oraz całkowite wyczyszczenie danych przeglądarki w celu eliminacji przechowywanych identyfikatorów śledzenia. Warto również przyjrzeć się wszystkim rozszerzeniom, które są zainstalowane.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].