Epidemija zlonamjernih Chrome proširenja

AUTOR ·

Epidemija zlonamjernih Chrome proširenja je pojava na koju korisnici digitalnog prostora moraju obratiti pažnju. Ovi naizgled bezazleni dodaci kompromitovali su najmanje 3,2 miliona internet pregledača korisnika, ubrizgavajući kôd u njihove sisteme i olakšavajući prevare oglašavanja i optimizacije pretrage pretraživača (eng. search engine optimization – SEO).

Chrome proširenja

Epidemija zlonamjernih Chrome proširenja; Source: Bing Image Creator

ZLONAMJERNIH CHROME PROŠIRENJA

Nedavno otkriće grupe zlonamjernih Chrome proširenja od strane sigurnosne platforme GitLab Threat Intelligence izazvalo je zabrinutost u čitavoj zajednici sajber bezbjednosti. Prema izvještajima, najmanje 16 proširenja je kompromitovalo preko 3,2 miliona korisnika, dizajnirani da ubace kôd u internet pregledače korisnika, omogućavajući im da pristupe osjetljivim podacima i obavljaju zlonamjerne aktivnosti kao što su ubacivanje zlonamjernog softvera ili reklamnog softvera, krađa akreditiva za prijavljivanje ili drugih ličnih podataka, otmica sesija internet pregledača radi phishing napada i manipulisanje rezultatima optimizaciji pretrage pretraživača (SEO) radi prevare.

Zlonamjerna proširenja za Chrome su obično dizajnirana da oponašaju legitimne dodatke, što korisnicima otežava razliku između njih i originalnih aplikacija. Ova proširenja se često maskiraju kao alati za produktivnost ili softver za zabavu, mame žrtve da ih instaliraju obećanjima pogodnosti, brzine ili zabave. Međutim, kada se jednom instaliraju, ovi zlonamjerni programi mogu da izazovu opasnost u bezbjednosti internet pregledača korisnika.

Ova proširenja, koja uključuju funkcije poput snimanja ekrana, blokiranja oglasa i emodži tastature, dizajnirana su da budu bezopasna, ali su ih preoteli zlonamjerni akteri. Sam obim ovog napada je zapanjujući. Pošto su pogođeni milioni korisnika, jasno je da je epidemija zlonamjernih proširenja za Chrome postala glavna briga kako za pojedince tako i za organizacije.

Naziv proširenja Poslednje ažuriranje
Blipshot: one click full page screenshots 4. jula 2024. godine
Emojis – Emoji Keyboard 4. jula 2024. godine
WAToolkit 4. jula 2024. godine
Color Changer for YouTube 5. jula 2024. godine
Video Effects for YouTube And Audio Enhancer 5. jula 2024. godine
Themes for Chrome and YouTube™ Picture in Picture 17. jula 2024. godine
Mike Adblock für Chrome | Chrome-Werbeblocker 18. jula 2024. godine
Page Refresh 25. jula 2024. godine
Wistia Video Downloader 8. avgusta 2024. godine
Super dark mode 11. avgusta 2024. godine
Emoji keyboard emojis for chrome 11. avgusta 2024. godine
Adblocker for Chrome – NoAds 22. avgusta 2024. godine
Adblock for You 10. septembar 2024
Adblock for Chrome 10. septembar 2024
Nimble capture 27. septembra 2024. godine
KProxy 8. oktobar 2024. godine

 

 

Funkcionisanje

Prva faza ovog višestepenog napada počinje postavljanjem radnih procesa (eng. service workers) od strane zlonamjernih proširenja. Ova proširenja koriste legitimnu funkciju modernih internet pregledača – funkcionalnost radnih procesa – za uspostavljanje komunikacionih kanala između jedinstvenih konfiguracijskih servera i čvrsto kodiranih ID oznaka. Korišćenje radnih procesa omogućava ovim ekstenzijama da dinamički preuzimaju skripte sa udaljenih servera, omogućavajući zlonamjernom akteru da ažurira svoje skripte za ubrizgavanje tokom vremena. Ovo čini otkrivanje sve izazovnijim, jer se zlonamjerni kôd prilagođava da izbjegne mjere bezbjednosti.

Jedan od najkritičnijih aspekata ovog lanca napada uključuje uklanjanje zaštite politike bezbjednosti sadržaja (eng. content security policy – CSP) ovim zlonamjernim proširenjima. Zaglavlja politike bezbjednosti sadržaja su ključna u sprečavanju napada međulokacijskog skriptovanja (eng. cross-site scripting – XSS), koji mogu imati ozbiljne posljedice i za korisnike i za organizacije. Onemogućavanjem zaštite politike bezbjednosti sadržaja (CSP), zlonamjerni akteri stvaraju dopuštajuće okruženje koje im omogućava da nekažnjeno ubrizgavaju skripte.

Kada zlonamjerna proširenja skinu zaštitu politike bezbjednosti sadržaja (CSP), nastavljaju da mijenjaju pravila filtriranja mrežnih zahteva. Ovo im omogućava da manipulišu rezultatima pretraživača, blokiraju usluge praćenja, pa čak i ubrizgavaju ugrađeni okvir (eng. iframe) sa udaljenim sadržajem – posebno ciljajući stranice Amazon proizvoda na određenim evropskim lokacijama. Potencijal za curenje osjetljivih informacija je značajan, što predstavlja značajan rizik od početnog pristupa za dalje zlonamjerne aktivnosti.

 

Uticaj

Zlonamjerna Chrome proširenja mogu imati značajan uticaj i na pojedinačne korisnike i na organizacije. Za korisnike, zlonamjerna proširenja ugrožavaju bezbjednost internet pregledača, dozvoljavajući zlonamjernim akterima da ubace zlonamjerni kôda u internet pregledače. Ovo olakšava prevaru u vezi sa oglašavanjem i optimizacijom pretrage pretraživača (SEO), što može dovesti do prikazivanja neželjenih oglasa ili prikazivanja izmanipulisanih rezultata pretrage. Činjenica da ova proširenja obuhvataju različite funkcije, uključujući snimanje ekrana, blokiranje oglasa i emodži tastature, čini ih posebno opasnim, jer se stapaju sa legitimnim ekstenzijama.

Uticaj na korisnike nije ograničen samo na finansijske gubitke od oglašavanja i prevara sa optimizacijom pretrage pretraživača (SEO). Pošto zlonamjerni kôd može da pređe bezbjednosne granice internet pregledača i da se sakrije izvan proširenja, predstavlja značajan rizik za osjetljive informacije koje se prenose preko internet pregledača. To znači da korisnici mogu nehotice otkriti svoje lične podatke ili povjerljive poslovne informacije kada koriste ove kompromitovane internet pregledače.

Za organizacije, uticaj je još teži. Činjenica da je ova kampanja sprovedena u velikom obimu čini je važnom prijetnjom za preduzeća i institucije. Organizacije se u velikoj mjeri oslanjaju na internet pregledače za različite zadatke, uključujući internet transakcije, komunikaciju i saradnju. Ako se zlonamjerni kôd može ubaciti u internet pregledač preko proširenja, to stvara ranjivost koja može ugroziti bezbjednosni položaj cijele organizacije.

Pored toga, alati za bezbjednost krajnjih tačaka teško mogu da se bore da otkriju ovu vrstu napada, jer su artefakti prolazni, zakopani u memoriji internet pregledača i prenose se skoro trenutno da bi se održalo korisničko iskustvo. Ovo čini izazovom za organizacije da identifikuju ove prijetnje i odgovore na njih u realnom vremenu.

Zloupotreba pouzdanih distributera softvera i reputacije Chrome prodavnice takođe dodaje sloj složenosti rješavanju ovog problema. Organizacije će možda morati da preduzmu dodatne korake osim samo ažuriranja svojih bezbjednosnih alata, kao što je edukacija korisnika o rizicima proširenja pretraživača ili implementacija robusnih kontrola pristupa za osvetljive podatke koji se prenose preko internet pretraživača.

 

Odgovornost programera

Imajući u vidu da ovaj napad utiče na najmanje 3,2 miliona korisnika, potrebno je uzeti u obzir u ulogu koju programeri proširenja internet pregledača imaju u održavanju povjerenja i bezbjednosti korisnika. Kao kreatori softvera koji direktno komunicira sa internet pregledačima, ovi programeri imaju jedinstvenu odgovornost da osiguraju da njihova proširenja ne ugrožavaju bezbjednost korisnika.

Jedan ključni aspekt u kojem programeri mogu napraviti značajnu razliku je davanje prioriteta transparentnosti i komunikaciji sa korisnicima o potencijalnim rizicima povezanim sa određenim funkcionalnostima ili karakteristikama. Ovo uključuje jasno otkrivanje koje podatke proširenje prikuplja, kako koristi te informacije i sve potencijalne bezbjednosne implikacije njegove funkcionalnosti.

Pored toga, programeri proširenja pretraživača moraju primijeniti robusne mjere bezbjednosti kako bi spriječili da njihove kreacije postanu alati za zlonamjerne aktere. Ovo uključuje redovnu reviziju kôdne baze u potrazi za ranjivostima i osiguravanje da se funkcionalnost radnih procesa koristi bezbjedno. Radnih procesi su moćne komponente modernog internet razvoja, omogućavajući proširenjima da komuniciraju sa korisničkim iskustvom pregledanja na sofisticirani način. Međutim, ako se ne implementiraju ispravno, mogu ih iskoristiti i zlonamjerni akteri.

Preduzimajući proaktivne korake, programeri mogu značajno da smanje rizik da će njihova proširenja biti preoteta od strane zlonamjernih aktera. Štaviše, oni pokazuju posvećenost bezbjednosti i sigurnosti korisnika, što je od suštinskog značaja za izgradnju povjerenja kod korisnika koji se oslanjaju na proširenja internet pregledača kao dio svog svakodnevnog iskustva pregledanja.

 

ZAKLJUČAK

Otkriće zlonamjernih proširenja za Chrome izaziva zabrinutost u čitavoj zajednici sajber bezbjednosti, naglašavajući sofisticiranu i rasprostranjenu prijetnju koja predstavlja značajne rizike kako za organizacije tako i za pojedince. Detaljnijim analiziranjem ove epidemije, postaje jasno da su zlonamjerni akteri iskoristili propuste u sigurnosnim mehanizmima proširenja internet pregledača, koristeći pouzdane distributere softvera i mehanizme ažuriranja da isporuče zlonamjerni kôd na uređaje žrtava.

Obim i sofisticiranost ovog napada su zaista alarmantni. Ciljajući internet pregledače, koji svakodnevno prenose osjetljive informacije, ovi zlonamjerni akteri su stvorili važan vektor za upad i krađu podataka. Štaviše, prolazna priroda artefakata internet preglednika otežava alatima za sigurnost krajnjih tačaka da otkriju i odgovore na te prijetnje u stvarnom vremenu. Činjenica da je ova kampanja dugo bila u stanju da izbjegne otkrivanje svjedoči o lukavosti i snalažljivosti zlonamjernih aktera.

Jedan od najupečatljivijih aspekata ovog napada je njegovo oslanjanje na pouzdane distributere softvera, uključujući Chrome prodavnicu. Koristeći mehanizme ažuriranja za isporuku zlonamjernog kôda, ovi zlonamjerni akteri su efektivno pretvorili legitimne kanale u kanale za distribuciju zlonamjernog softvera. Činjenica da mnoga proširenja nisu ažurirana mjesecima dok skripte za ubrizgavanje zlonamjernog aktera nastavljaju da se razvijaju sugeriše namjernu strategiju za održavanje kontrole nad internet pregledačima žrtava. Praćenjem na strani servera i isporukom zlonamjernih varijanti konfiguracije, ovi zlonamjerni akteri su stvorili oblik izbjegavanja koji izuzetno otežava otkrivanje njihovih aktivnosti.

Ova kampanja predstavlja značajnu prijetnju kako organizacijama tako i pojedincima, naglašavajući potrebu za poboljšanim bezbjednosnim mjerama u razvoju i primjeni proširenja internet pregledača. Razumijevanjem taktika koje koriste ovi zlonamjerni akteri, moguće je biti bolje pripremljen za buduće prijetnje. Neophodno je da programeri daju prioritet efektivnoj kontroli nad ažuriranjima, implementiraju robusne metode otkrivanja i edukuju korisnike o potencijalnim rizicima povezanim sa ekstenzijama internet pregledača.

 

ZAŠTITA

U nastavku slijede preporuke o tome kako se zaštiti od ovih zlonamjernih proširenja:

  1. Redovno pregledati proširenja instalirana na svim uređajima, posebno onima koji se koriste za pregledanje ili pristup osjetljivim podacima. Odmah ukloniti sva sumnjiva ili nepotrebna proširenja. Primjenjivati oprez sa proširenjima koje zahtevaju prevelike dozvole ili djeluju previše složeno u svojoj funkcionalnosti;
  2. Prije instaliranja proširenja, pažljivo ispitati njegove tražene dozvole i uvjeriti se da su usklađene sa predviđenim slučajem upotrebe. Na primjer, menadžer lozinki treba da zahteva samo pristup lozinkama, a ne istoriji pregledanja ili kolačićima;
  3. Uvjeriti se da se Google Chrome redovno ažurira, jer nove verzije često sadrže bezbjednosne ispravke i poboljšanja za upravljanje proširenjima;
  4. Razmisliti o prelasku na internet pregledače koji imaju ugrađene bezbjednosne funkcije posebno dizajnirane za borbu protiv zlonamjernih ekstenzija, kao što je Firefox poboljšana zaštita od praćenja (eng. enhanced tracking protection) ili funkcija SmartScreen kompanije Microsoft za Edge internet pregledač;
  5. Obrazovati korisnike o potencijalnim rizicima povezanim sa instaliranjem nepoznatih ili sumnjivih Chrome proširenja i naglasiti važnost provjere dozvola za proširenje pre instalacije. Ovo će pomoći da se podstakne kultura opreza kada su u pitanju dodaci internet pregledača, smanjujući vjerovatnoću da zlonamjerna proširenja ugroze bezbjednost korisnika;
  6. Primijeniti pravila filtriranja mrežnih zahteva u zaštitnom zidu internet aplikacije (eng. web application firewall – WAF) ili mreži za isporuku sadržaja (eng. content delivery network – CDN) kako bi se otkrili i blokirali sumnjivi zahtevi sa poznatih zlonamjernih IP adresa Chrome proširenja;
  7. Primijeniti mehanizme za otkrivanje manipulacije rezultatima internet pregledača kako bi se označila sumnjiva aktivnost kada se rezultatima pretrage korisnika manipuliše od strane poznatih zlonamjernih proširenja za Google Chrome;
  8. Pratiti ažuriranja iz Google Chrome prodavnice za sve nove bezbjednosne ispravke ili funkcije koje mogu da pomognu u borbi protiv zlonamjernih ekstenzija i obezbijediti da se internet pregledač ažurira u skladu sa tim;

Primjenom ovih preporuka moguće je značajno smanjiti rizik da se postane žrtva zlonamjernih napada Google Chrome proširenja.

Tags:

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.