Έξι ακόμα προγραμματιστές επεκτάσεων του Chrome ανακάλυψαν ότι είχε παραβιαστεί ο λογαριασμός τους, τελευταίους τέσσερις μήνες, σύμφωνα με νέα στοιχεία που προέκυψαν χθες από τον ερευνητή ασφαλείας της Proofpoint, Kafeine.
Νωρίτερα αυτό το μήνα, αναφέραμε για το hijack μιας ακόμα επέκτασης του Chrome (Copyfish). Όπως φαίνεται σε όλες τις περιπτώσεις, οι επιτιθέμενοι χρησιμοποίησαν ηλεκτρονικά μηνύματα “ψαρέματος” ηλεκτρονικού ταχυδρομείου για να ξεγελάσουν τους προγραμματιστές να τους δώσουν τα διαπιστευτήρια σύνδεσης στους λογαριασμούς προγραμματιστών του Chrome.
Ο ερευνητής ασφαλείας Kafeine προσδιόρισε έξι επιπλέον επεκτάσεις του Chrome που είχαν καταληφθεί με τον ίδιο τρόπο.
Ο κατάλογος συμπεριλαμβάνει τις:
Web Paint 1.2.1 [source]Social Fixer 20.1.1 [source]TouchVPN
Betternet VPN
Αν τώρα προσθέσετε τις συνολικές εγκαταστάσεις από τις οκτώ επεκτάσεις, θα δείτε ότι οι επιτιθέμενοι κατάφεραν να παραδώσουν τον κακόβουλο κώδικα τους σε περίπου 4,8 εκατομμύρια χρήστες.
Από την άλλη η Google φέρεται να προειδοποιεί τους προγραμματιστές επεκτάσεων του Chrome στο να πολύ είναι επιφυλακτικοί για προσπάθειες ηλεκτρονικού “ψαρέματος”.
Η Google έστειλε μια προειδοποίηση πριν από δύο εβδομάδες, επειδή σε όλες τις παραπάνω επιθέσεις το ηλεκτρονικό ψάρεμα ήταν το πρώτο βήμα της διαδικασίας.
Ο ερευνητής ασφαλείας Kafeine ανέλυσε για τον κακόβουλο κώδικα που βρήκε σε μερικές από τις επεκτάσεις και ανακάλυψε ότι ήταν σχεδιασμένος για να εκτελεί τις ακόλουθες λειτουργίες:
- Αναμονή τουλάχιστον δέκα λεπτά μετά την εγκατάσταση– ενημέρωση της επέκτασης
- Ανάκτηση ενός αρχείου JavaScript από ένα τυχαίο DGA-generated domain
- Συλλογή συγκεντρωτικών στοιχείων πιστοποίησης από το πρόγραμμα περιήγησης του χρήστη
- Αντικατάσταση διαφημίσεων με διαφημίσεις που παρέχονται από το κακόβουλο χρήστη
- Οι περισσότερες αντικαταστάσεις διαφημίσεων προέρχονται από portals ενηλίκων
- Εμφάνιση ενός αναδυόμενου μηνύματος ειδοποίησης χρηστών που ενημερώνει για ένα σφάλμα και ανακατευθύνει σε άλλους ιστότοπους προσθέτοντάς τους μεγαλύτερη επισκεψιμότητα
Οι επιθέσεις ηλεκτρονικού “ψαρέματος” σύμφωνα με τον ερευνητή πραγματοποιήθηκαν από τον Μάιο του 2017, και φαίνεται ότι συνδέονται με τις υποδομές που χρησιμοποιήθηκαν σε μια άλλη κακόβουλη επέκταση του Chrome, η οποία ανακαλύφθηκε τον Ιούνιο του 2016.
Αυτό δείχνει ότι οι κακόβουλοι χρήστες που βρίσκονται πίσω από αυτές τις επιθέσεις είναι πολύ έμπειροι στην εσωτερική λειτουργία των επεκτάσεων του Chrome αλλά και του Chrome Web Store και πιθανότατα θα συνεχίσουν τις επιθέσεις τους.