Milióny ľudí si nainštalovali vírus priamo do Chromu, netušia o tom dodnes. Takto zistíš, či si sa stal obeťou aj ty
Bezpečnostný expert odhalil 35 podozrivých rozšírení pre Chrome s viac ako 4 miliónmi inštalácií. Mnohé z nich žiadajú prístup k citlivým údajom a odkazujú na rovnakú tajomnú doménu.
Internetový priestor sa opäť stal dejiskom znepokojujúceho odhalenia, ktoré poukazuje na rastúce riziko spojené s používaním rozšírení pre webové prehliadače. Bezpečnostný výskumník John Tucker zo spoločnosti Secure Annex odhalil rozsiahlu sieť takmer troch desiatok podozrivých rozšírení pre populárny prehliadač Google Chrome, ktoré dohromady nazbierali viac ako štyri milióny inštalácií. Mnohé z týchto zákerných nástrojov sa pritom ironicky prezentujú ako užitoční asistenti vyhľadávania, blokátory reklám, bezpečnostné nástroje či dokonca skenery iných rozšírení. Spoločným menovateľom týchto hrozieb je záhadné prepojenie na jednu nepoužívanú doménu. Na tému upozornil portál Techspot.
John Tucker narazil na tieto znepokojujúce rozšírenia pri pomoci klientovi, ktorý si nainštaloval jeden alebo viacero nástrojov na monitorovanie bezpečnosti prehliadača. Prvým varovným signálom bolo zistenie, že dve zo 132 analyzovaných rozšírení nepochádzali z oficiálneho zdroja. To znamená, že sa nezobrazovali vo výsledkoch vyhľadávania v Internetovom obchode Chrome a používatelia si ich mohli stiahnuť len prostredníctvom priamej URL adresy. Neuvedené rozšírenia obchádzajú štandardný proces schvaľovania v Chrome Web Store, čím zvyšujú riziko škodlivých aktivít.
Väčšina aplikácií pochádza mimo oficiálneho zdroja
Po hlbšej analýze týchto dvoch podozrivých rozšírení odhalil Tucker ďalších 33 s podobnými charakteristikami. Mnohé z nich komunikovali s rovnakými servermi, používali identické vzory kódu a vyžadovali mimoriadne rozsiahle povolenia. Tieto aplikácie žiadali prístup k citlivým údajom, vrátane kariet a okien prehliadača, súborov cookie, úložiska, skriptovania a rôznych API rozhraní na správu. Takéto vysoké úrovne povolení vytvárajú ideálne podmienky na zneužitie systému používateľa.
Okrem množstva požadovaných povolení je rovnako znepokojujúce aj programovanie týchto rozšírení. Tucker zistil, že kód aplikácií je značne zahmlený (obfuscated). Tento postup vývojári často používajú na ochranu duševného vlastníctva alebo na zakrytie škodlivých aktivít pred bezpečnostnými analytikmi. Obfuscácia zahŕňa techniky ako šifrovanie kódu, jeho kompresiu či vloženie nečitateľných prvkov, čo sťažuje analýzu a detekciu škodlivého softvéru.
Zarážajúce je, že napriek tomu, že takto inštalované rozšírenia sa bežne vyhýbajú pozornosti, tieto konkrétne nástroje si celkovo nainštalovalo viac ako 4 milióny používateľov. Desať z týchto rozšírení dokonca získalo označenie „Featured“ od spoločnosti Google, čo je odznak dôvery, ktorý sa zvyčajne udeľuje vývojárom po preverení ich aplikácií.
Neprehliadni
Útočníci sa dostali vďaka rozšíreniam k veľkému množstvu dát
Práve doména unknow.com je kľúčovým prepojením medzi všetkými 35 odhalenými rozšíreniami. Všetky na ňu odkazujú vo svojich skriptoch bežiacich na pozadí, napriek tomu, že nemá žiadnu viditeľnú webovú prezentáciu ani jasnú funkciu. Záznamy Whois ju navyše uvádzajú ako „dostupnú“ a „na predaj“, čo robí jej prepojenie s takým množstvom rozšírení ešte bizarným. Domény tohto typu môžu slúžiť ako riadiace servery (Command and Control – C2), ktoré útočníci využívajú na koordináciu škodlivých aktivít.
Hoci Tucker zatiaľ nenašiel priamy dôkaz o exfiltrácii dát týmito rozšíreniami, túto možnosť nevylučuje. Obzvlášť ironické je, že jedno z rozšírení s názvom Fire Shield Extension Protection sa samo prezentuje ako nástroj na skenovanie prehliadača Chrome na prítomnosť škodlivých doplnkov. Po jeho analýze však Tucker objavil v jeho kóde súbor JavaScript schopný nahrávať údaje a sťahovať inštrukcie z pochybných domén.
Používatelia by mali byť opatrní pri inštalovaní rozšírení a vždy si overiť ich pôvod a hodnotenia. Odporúča sa pravidelne kontrolovať zoznam nainštalovaných doplnkov a odstrániť tie, ktoré nie sú nevyhnutné alebo pochádzajú od neznámych vývojárov. Organizácie by mali zvážiť implementáciu politiky obmedzujúcej používanie rozšírení a monitorovať ich povolenia.
Komentáre