Otkriveno preko 100 zlonamjernih Chrome proširenja

AUTOR ·

Nedavni porast zlonamjernih Chrome proširenja (eng. extensions) natjerao je stručnjake kompanije DomainTools da istraže ovaj problem. Detaljnije ispitivanje je otkrilo da se ove proširenja često maskiraju kao legitimni alati za produktivnost, ali u stvarnosti predstavljaju značajne prijetnje korisničkim podacima i bezbjednosti internet pregledača, kao i da njihov broj nije mali.

Chrome proširenja

Otkriveno preko 100 zlonamjernih Chrome proširenja; Source: Bing Image Creator

ZLONAMJERNA CHROME PROŠIRENJA

Prijetnja zlonamjernih Chrome proširenja je dobila na zamahu otprilike oko februara 2024. godine, kreiranjem zlonamjernih proširenja za internet pregledač Chrome od strane nepoznatog aktera. Ova proširenja su dizajnirana da prevare korisnike da ih instaliraju iz zvanične Google Chrome prodavnice (eng. Chrome Web Store – CWS), maskirajući se kao legitimne usluge, alati za produktivnost, pomoćnici za kreiranje ili analizu oglasa i medija, VPN usluge, kriptovalute, bankarstvo i još mnogo toga.

Sama razmjera ove kampanje je zapanjujuća – identifikovano je preko 100 zlonamjernih proširenja, svako sa dvostrukom funkcionalnošću koja im omogućava da izgledaju funkcionalno dok se tajno povezuju sa serverima koje kontrolišu zlonamjerni akteri. Ovaj sofisticirani pristup omogućio je zlonamjernom akteru koji stoji iza ovih kampanja da ukrade podatke za prijavu, otme aktivne sesije, ubaci zlonamjerne oglase, manipuliše mrežnim saobraćajem i izvodi ciljane phishing napade putem manipulacije modela objekata dokumenta (eng. document object model – DOM).

Činjenica da su ova proširenja bila u stanju da izbjegavaju otkrivanje toliko dugo svjedoči o evoluirajućoj prirodi prijetnji zasnovanih na internet pregledačima. Kao što je primijećeno posljednjih godina, zlonamjerni akteri kontinuirano prilagođavaju i usavršavaju svoje taktike kako bi ostali ispred mjera sajber bezbjednosti. U ovom slučaju, nepoznati akter koji stoji iza ovih zlonamjernih Chrome proširenja pokazao je impresivan nivo sofisticiranosti kreiranjem složenih mehanizama za autentifikaciju koji im omogućavaju komunikaciju sa domenima pod njegovom kontrolom.

 

Dvostruka namjena

Kampanja uključuje stotine zlonamjernih Chrome ekstenzija koje su dizajnirane da prevare korisnike da ih instaliraju na svoje internet pregledače. Ova proširenja dvostruke namjene izgledaju potpuno ili djelimično funkcionalne u skladu sa svojim reklamiranim temama, što korisnicima otežava razlikovanje legitimnog i zlonamjernog softvera. Iza ove fasade, ova proširenja uspostavljaju stalnu komunikaciju sa serverima koje kontrolišu zlonamjerni akteri, šaljući osjetljive informacije, primajući daljinske komande i izvršavajući proizvoljne skripte na internet pregledačima korisnika.

Ovaj sofisticirani pristup omogućava zlonamjernim akterima da zaobiđe tradicionalne bezbjednosne mjere, kao što su zaštite Chrome politike bezbjednosti sadržaja (eng. content security policy – CSP), koje su dizajnirane da spriječe pokretanje zlonamjernog kôda na internet stranicama. Proširenja zahtijevaju prekomjerne dozvole tokom instalacije, čime dobijaju širok pristup aktivnostima pregledanja korisnika na svim posjećenim internet stranicama.

Korišćenje proširenja dvostruke namjene je pametna taktika koju koriste zlonamjerni akteri kako bi izbjegli otkrivanje i povećali svoj uticaj. Kreiranjem proširenja koja izgledaju potpuno funkcionalne, oni mogu prevariti korisnike da ih instaliraju na svoje internet pregledače, čime dobijaju pristup osjetljivim informacijama bez izazivanja sumnje. Ovaj pristup takođe omogućava zlonamjernim akterima da dinamički ažuriraju zlonamjerno ponašanje nakon instalacije, zaobilazeći statičke preglede tokom slanja u Chrome internet prodavnicu.

 

Izvršavanje proizvoljnog kôda

Zlonamjerna proširenja pažljivo implementiraju mehanizme koji omogućavaju zlonamjernim akterima da prikupljaju kolačiće internet pregledača, podatke za prijavu i druge osjetljive podatke. To se postiže na različite načine, uključujući uspostavljanje internet posredničkih tunela koji usmjeravaju saobraćaj žrtve kroz zlonamjerne servere.

Proširenje sa temom FortiVPN, na primjer, održava WebSocket veze sa sa serverima zlonamjernog aktera, prima prilagođene komande i može da preuzima i prenosi sve kolačiće internet pregledača (često kompresovane i kôdirane u Base64 formatu). Druga proširenja ubrizgavaju proizvoljne skripte u aktivne kartice internet pregledača, omogućavaju dinamičku izmjenu mrežnih zahteva koristeći Chrome deklarativni NetRequest API, pa čak i vrše phishing putem manipulacije modela objekata dokumenta (DOM) ili ubrizgavanja oglasa.

Da bi uspostavili vezu sa infrastrukturom zlonamjernog aktera, ova zlonamjerna proširenja koriste JSON Web Tokens – JWT za autentifikaciju korisnika. Ovi tokeni integrišu identifikatore proširenja i karakteristike sistema, koji se zatim potpisuju putem HMACSHA256 prije nego što se prenesu na servere zlonamjernog aktera.

Proces počinje kreiranjem tokena korišćenjem standardne JWT biblioteke koja kombinuje UUID, ID proširenja, verziju i kôd zemlje. Ovaj korisni teret (eng. payload) se zatim koristi kao ulaz za ključno heširanje za autentifikaciju poruka (eng. keyed-hashing for message authentication – HMAC) operaciju sa SHA-256 kao algoritmom potpisivanja. Dobijeni potpis se dodaje originalnom korisnom teretu, koji se potom kôdira u Base64. Konačno, ovaj izlaz se prenosi na servere zlonamjernog aktera kao oblik autentifikacije.

Ovaj dizajn podržava dinamičku isporuku zlonamjernih korisnih tovara na zahtev i smanjuje statičke indikatore za otkrivanje. Korišćenjem JWT tokena sa HMACSHA256 potpisima, zlonamjerni akteri mogu osigurati da njihova komunikacija ostane šifrovana i zaštićena od neovlaštenih izmjena, što stručnjacima za bezbjednost sve više otežava otkrivanje i ublažavanje ovih prijetnji.

 

Reakcija kompanije Google

Kompanija Google je brzo odgovorila na prijetnju, uklonivši više identifikovanih zlonamjernih proširenja iz Chrome internet prodavnice u pokušaju da zaštiti korisnike. Ovaj potez je svjedočanstvo prosvijećenosti kompanije Google održavanju bezbjednog iskustva pregledanja interneta i treba ga pohvaliti. Međutim, uprkos ovoj proaktivnoj mjeri, kašnjenja u otkrivanju i brza prilagodljivost zlonamjernog aktera i dalje ugrožavaju korisnike.

Problem nije samo u samim zlonamjernim proširenjima, već i u njihovoj sposobnosti da se neprimjetno stapaju sa legitimnim proširenjima. To otežava čak i najpažljivijim korisnicima da razlikuju bezbjedni i sumnjivi sadržaj. Činjenica da ova proširenja često ciljaju na trendovsku produktivnost ili alate za vještačku inteligenciju dodatno pogoršava problem, jer je veća vjerovatnoća da će ih pojedinci koji ništa ne sumnjaju instalirati bez propisne provjere dozvola.

 

Uticaj

Uticaj zlonamjernih Chrome proširenja na korisnike i digitalni pejzaž u cjelini je u najmanju ruku značajan. Ove vrste prijetnji postale su sve sofisticiranije posljednjih godina, koristeći moćna API okruženja za proširenje, trenutne tehnološke trendove i taktike društvenog inženjeringa za održavanje stope infekcije i opstanak u korisničkim okruženjima.

Jedan od najznačajnijih uticaja je kompromitovanje osjetljivih informacija kao što su podaci za prijavu, kolačići internet pretraživača i drugi lični podaci. Ovo je dovelo do značajnog povećanja kompromitovanja naloga, pri čemu su korisnici izgubili pristup svojim internet nalozima, osjetljive informacije su ukradene, ili čak kompromitovani njihovi uređaji.

Štaviše, korišćenje lažnih internet lokacija od strane zlonamjernih aktera dodaje dodatni sloj složenosti problemu. Ove internet lokacije su dizajnirani da oponašaju legitimne, što korisnicima otežava razlikovanje između pravog i zlonamjernog sadržaja. Ovo je dovelo do situacije u kojoj korisnici nesvjesno instaliraju proširenja koja mogu ugroziti njihovu bezbjednost, često čak i ne shvatajući šta su uradili.

Uticaj na korisnike Chrome internet internet pregledača je posebno zabrinjavajući, s obzirom na popularnost i široku upotrebu platforme. Činjenica da je više ovih zlonamjernih proširenja uklonjeno iz Chrome internet prodavnice nakon što su identifikovane kao zlonamjerni softver služi samo da istakne vremensko kašnjenje u otkrivanju i uklanjanju, što predstavlja značajnu prijetnju korisnicima koji traže alatke za produktivnost i poboljšanja internet pregledača. Ovo je navelo stručnjake za bezbjednost da savjetuju oprez prilikom instaliranja proširenja, provjere dozvola, redovnog pregleda proširenja internet pregledača i obezbjeđivanja ažuriranja internet pregledača i bezbjednosnog softvera.

 

ZAKLJUČAK

Istraživanje je otkrilo složen i sofisticiran pejzaž prijetnji koje okružuju zlonamjerna Chrome proširenja. Upotreba dinamičkog tereta i mehanizama isporuke na zahtev stvara izazov za branioce da otkriju ove prijetnje u realnom vremenu. Osim toga, integracija identifikatora proširenja i sistemskih podatka u Base64 kodirane tokene omogućava zlonamjernim akterima da zadrže postojanost čak i nakon uklanjanja iz Chrome internet prodavnice.

Istraživanje je takođe istaklo važnost razumijevanja načina na koji zlonamjerni akteri koriste trenutne tehnološke trendove i taktike društvenog inženjeringa da šire svoj zlonamjerni softver. Korištenje lažnih internet lokacija koje se maskiraju kao legitimne usluge ili alatke za produktivnost je posebno efikasna taktika, zbog čega je neophodno da korisnici budu oprezni prilikom instaliranja proširenja.

Sve ovo naglašava potrebu za kontinuiranim istraživanjem prijetnji zasnovanih na internet pregledaču i razvojem sofisticiranijih mehanizama za otkrivanje. Bolje razumijevanje ovih prijetnji, može omogućiti razvijanje efikasnijih protivmjera koje su ispred napredne sofisticiranosti zlonamjernih aktera. Ovo otkriće ističe i važnost višestrukog pristupa u rješavanju sajber prijetnji, koji uključuje ne samo tehnička rješenja već i napore za podizanje svesti i edukaciju korisnika.

 

ZAŠTITA

Kako bi se zaštitili od zlonamjernih proširenja za Chrome internet pregledač, razmisliti o primjeni sljedećih mjera:

  1. Instalirati proširenja samo iz zvanične Google Chrome internet prodavnice (CWS) i od renomiranih programera. Primjenjivati oprez sa proširenjima koje mogu izgledati slično, ali su zapravo zlonamjerna;
  2. Prije instaliranja proširenja, pažljivo pregledati njegove zahteve za dozvole. Legitimna proširenja obično zahtijevaju pristup samo određenim funkcijama ili podacima, tako da je potreban oprez ako se zahtev čini pretjeranim ili nepotrebnim;
  3. Provjeriti broj korisnika koji su instalirali i pregledali proširenje. Visoka ocjena od strane više korisnika može ukazivati na legitimnost, ali i uzeti u obzir i sve negativne komentare koji mogu izazvati zabrinutost;
  4. Redovno ažurirati Google Chrome da bi se osiguralo posjedovanje najnovijih bezbjednosnih ispravki i funkcija dizajniranih za otkrivanje zlonamjernih proširenja;
  5. Periodično provjeravati instalirana proširenja da bi se identifikovala sumnjiva ili nepotrebna. Ukloniti ih odmah, jer možda prikupljaju osjetljive informacije ili ugrožavaju integritet sistema;
  6. Zlonamjerni akteri često koriste lažne internet stranice koje oponašaju legitimne usluge kako bi prevarili korisnike da instaliraju zlonamjerna proširenja. Primjenjivati oprez prilikom posjete nepoznatih internet lokacija i izbjegavati klikove na veze iz nepouzdanih izvora;
  7. Provjeriti reputaciju programera proširenja kroz recenzije, ocjene i prisustvo na platformama poput GitHub ili Stack Overflow. Legitimni programeri obično imaju snažno prisustvo na mreži;
  8. Instalirati renomirani antivirusni softver koji ima mogućnost integracije sa internet pregledačem kako bi se otkrile i blokirale zlonamjerna proširenja u realnom vremenu;
  9. Zaštititi osjetljive podatke za prijavu korišćenjem jedinstvenih, složenih lozinki i omogućavanjem autentifikacije u dva koraka (eng. two-factor authentication – 2FA) kad god je to moguće da bi se otežao neovlašteni pristup u slučaju da zlonamjerni akter dobije pristup ovim podacima;
  10. Potrebno je pratiti renomirane izvore sajber bezbjednosti i i biti u toku sa najnovijim vestima u vezi sa pratnjama zasnovanim na internet pregledači, uključujući nove taktike koje koriste zlonamjerni akteri i efikasne protivmjere;
  11. Ako i dalje postoji zabrinutost u pogledu Google Chrome ranjivosti na zlonamjerne ekstenzije, razmislite o prelasku na alternativne internet pregledače kao što su Firefox ili Brave, koji mogu da ponude dodatne bezbjednosne funkcije posebno prilagođene korisnicima koji traže pojačanu zaštitu od novih prijetnji;
  12. U slučaju pronalaska na potencijalno zlonamjernog proširenja proširenje prilikom pretrage internet prodavnice, odmah ga prijavite kompaniji Google koristeći njihove zvanične kanale za prijavljivanje i pružiti detaljne informacije o svom saznanju;

Primjenom ovih mjera, korisnici mogu značajno smanjiti rizik povezan sa zlonamjernim Google Chrome proširenjima i održati bezbjednije iskustvo pregledanja u cjelini.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.