Viac ako 1,5 milióna používateľov prehliadača Chrome má v ňom vírus
Bezpečnostní experti z ReasonLabs odhalili kampaň hackerov, ktorým sa podarilo infikovať 1,5 milióna používateľov prehliadača Chrome.
Naraziť na online podvod či škodlivý softvér, nikdy nebolo tak jednoduché, ako je tomu dnes. Dôkazom toho je aj najnovšia správa bezpečnostných expertov z ReasonLabs, ktorí odhalili kampaň útočníkov, ktorí infikovali viac ako 1,5 milióna zariadení. Útočníci cielili hlavne na používateľov prehliadaču Chrome, no v niektorých prípadoch sa obeťami stali aj používatelia prehliadača Microsoft Edge.
Experti na bezpečnosť identifikovali škodlivý inštalátor, ktorý bol zväčša skrytý v pirátskom softvéri. Objavili ho napríklad v kópiách hier ako sú Grand Theft Auto, Assassins Creed, The Sims 4, Heroes 3 a ďalších, ktoré útočníci distribuovali primárne cez torrentové stránky.
Nebezpečné rozšírenia pre prehliadač Chrome
Akonáhle obeť stiahla do zariadenia infikovaný súbor a rozhodla sa hru nainštalovať, tak ten nahral do prehliadača Chrome, resp. Edge aj škodlivý softvér v podobe rozšírenia pre prehliadač.
„Po spustení súboru setup.exe, sa škodlivý kód spojí so serverom tretej strany (t-oapp[.]ru) a odošle informácie o infikovanom hostiteľovi. Neskôr dostane konfiguráciu a binárne súbory.“, vysvetľujú analytici, ako dochádza k infikovaniu počítačov.
Išlo konkrétne o rozšírenia netPlus, ktoré malo viac ako 1 milión používateľov, zatiaľ čo ďalšie dve rozšírenia, netSave a netWin mali spolu takmer 500 000 inštalácií. Rovnako treba uviesť, že tieto rozšírenia sa do prehliadačov obetí nahrali bez ich vedomia.
„Na základe údajov z Chrome-Stats môžeme vidieť, že len za dva mesiace sa rozšírenie rozrástlo z nuly na 1 milión používateľov. Používateľská základňa rozšírenia nie je prirodzená a inštaluje sa bez vedomia používateľa.“, uvádzajú experti na bezpečnosť v publikovanej správe.
Rozšírenia potom, ako sa nahrajú do zariadenia obete, zdanlivo spia päť minút po inštalácii. Po piatich minútach začnú komunikovať so vzdialeným serverom a začnú pracovať na pozadí.
Neprehliadni
Tieto VPN služby zároveň ponúkali aj možnosť predplatného, aby zmiatli ich používateľov, že ide o vierohodnú službu. No na pozadí špehovali používateľov a kradli citlivé dáta. Bezpečnostní experti hovoria, že škodlivý kód mal viac ako 20-tisíc riadkov kódu.
Škodlivé rozšírenia ale mali aj ďalšie schopnosti. Okrem iného dokázali napríklad manipulovať s webovými požiadavkami a dokonca deaktivovať ďalšie rozšírenia nainštalované v prehliadači. Útočníci sa sústreďovali pri deaktivácii ďalších rozšírení hlavne na chasback rozšírenia, ktoré nahrádzali vlastným riešením. Cieľom hackerov v tomto prípade bolo presmerovanie provízií z predaja tovarov na ich účet. Pre tých, ktorí nevedia, tak rozšírenia ponúkajúce kupóny a rôzne zľavy zarábajú malé % za každý nákup, ktorý sprostredkujú na rôznych stránkach. Útočníci preto nahrádzali viac ako stovku rozšírení vlastným riešením.
Záverom treba podotknúť, že škodlivé rozšírenia už nie sú dostupné v obchode s rozšíreniami, no môžete ich mať nainštalované vo vašom prehliadači, ak ste sa stali obeťou. Preto vám odporúčame, aby ste si skontrolovali, aké rozšírenia máte nainštalované vo vašom internetovom prehliadači.
Komentáre