Μια αναφορά της εταιρείας ασφάλειας Radware δείχνει ότι οι χρήστες του Google Chrome εκτέθηκαν σε ένα ακόμη κύμα κακόβουλων επεκτάσεων που τους προσφέρεται από το επίσημο Chrome Web Store.
Η εταιρεία Radware αναφέρει ότι οι επεκτάσεις αυτές χρησιμοποιήθηκαν για την εκτέλεση “κλοπής διαπιστευτηρίων, κρυπτογράφησης, απάτης σε κλικς και άλλα”. Σύμφωνα με την ανάλυση της Radware, το κακόβουλο λογισμικό που ανακάλυψαν ήταν ενεργό τουλάχιστον από τον Μάρτιο του 2018. Έχει μολύνει περισσότερες από 100.000 συσκευές χρηστών σε περισσότερες από 100 χώρες και προχώρησε στην εγκατάσταση άλλων επτά τουλάχιστον διαφορετικών επεκτάσεων του Chrome με κακόβουλο περιεχόμενο, χρησιμοποιώντας τον ακόλουθο τρόπο επίθεσης:
1. Οι επιτιθέμενοι χρησιμοποιούν διαφήμιση στο Facebook για να προσεγγίσουν τα πιθανά θύματα.
2. Οι χρήστες μεταφέρονται σε ψεύτικες σελίδες του YouTube.
3. Εμφανίζεται μια ερώτηση που τους ζητάει να εγκαταστήσουν μια επέκταση του Chrome για να παίξουν το βίντεο.
4. Το κλικ στο “add extension” εγκαθιστά την επέκταση και κάνει το χρήστη μέρος ενός botnet.
5. Κακόβουλο JavaScript εκτελείται κατά την εγκατάσταση, το οποίο εγκαθιστά επιπλέον κώδικα από ένα κέντρο εντολών.
Οι επεκτάσεις που χρησιμοποίησαν οι επιτιθέμενοι ήταν αντίγραφα διαφόρων δημοφιλών επεκτάσεων του Chrome, με παρόμοιο όνομα, που όμως περιείχαν επιπλέον κακόβουλο κώδικα εντός τους. Σύμφωνα με την έρευνα της εταιρείας Radware έχουν αναγνωριστεί ως κακόβουλες οι ακόλουθες επεκτάσεις (όχι οι ίδιες αλλά αντίγραφα αυτών):
Nigelify
PwnerLike
Alt-j
Fix-case
Divinity 2 Original Sin: Wiki Skill Popup
keeprivate
iHabno
Στην παραπάνω φωτογραφία το αριστερό extension είναι το κανονικό και το δεξί είναι το κακόβουλο.
Μπορείτε να ελέγξετε την ιστοσελίδα της εταιρείας για αναγνωριστικά επέκτασης (IDs) καθώς και άλλες πληροφορίες. Η Google έχει ήδη καταργήσει όλες αυτές τις επεκτάσεις-αντίγραφα.
Θεωρώντας ότι οι επιτιθέμενοι λειτουργούσαν τις επεκτάσεις ήδη από τον Μάρτιο του 2018, είναι σαφές – και πάλι – ότι το προστατευτικό σύστημα της Google δεν λειτουργεί σωστά.
Οι χρήστες του Chrome θα πρέπει να επαληθεύουν οποιαδήποτε επέκταση ενδιαφέρονται, προτού αποφασίσουν να πατήσουν το κουμπί εγκατάστασης. Ένας κανόνας είναι ότι δεν θα πρέπει ποτέ να εγκαταστήσετε επεκτάσεις που σας ζητούν να το κάνετε έξω από το Chrome Web Store, αλλά επειδή όπως είδατε υπάρχουν και κακόβουλες επεκτάσεις που φιλοξενούνται στο Store, ο παραπάνω κανόνας δεν είναι πανάκεια.
Το κύριο πρόβλημα είναι ότι η πλειοψηφία των χρηστών δεν μπορεί να ελέγξει εάν μια επέκταση του Chrome είναι νόμιμη ή όχι, καθώς για να είναι κάποιος απόλυτα σίγουρος απαιτείται να κάνει ανάλυση του κώδικα της.