Οι αναλυτές απειλών της McAfee εντόπισαν πέντε επεκτάσεις στο Google Chrome που κλέβουν δεδομένα που σχετίζονται με τη δραστηριότητα περιήγησης των χρηστών. Συλλογικά, οι επεκτάσεις έχουν πάνω από 1,4 εκατομμύρια λήψεις.
Ο σκοπός των κακόβουλων επεκτάσεων είναι να παρακολουθούν πότε οι χρήστες επισκέπτονται site ηλεκτρονικού εμπορίου. Έπειτα, εισάγουν κώδικα στα site ηλεκτρονικού εμπορίου που τροποποιεί τα cookies στον ιστότοπο, ώστε να φαίνεται σαν να προήλθαν μέσω συνδέσμου παραπομπής (referrer link). Έτσι, οι δημιουργοί των επεκτάσεων λαμβάνουν μια αμοιβή συνεργάτη (affiliate payment) για τυχόν αγορές σε ηλεκτρονικά καταστήματα.
Δείτε επίσης: START: Η ρωσική streaming πλατφόρμα υπέστη παραβίαση δεδομένων
Οι πέντε κακόβουλες επεκτάσεις που ανακάλυψαν οι ερευνητές της McAfee είναι οι ακόλουθες:
- Netflix Party (mmnbenehknklpbendgmgngeaignppnbe) – 800.000 λήψεις
- Netflix Party 2 (flijfnhifgdcbhglkneplegafminjnhn) – 300.000 λήψεις
- Full Page Screenshot Capture – Screenshotting (pojgkmkfincpdkdgjepkmdekcahmckjp) – 200.000 λήψεις
- FlipShope – Price Tracker Extension (adikhbfjdbjkhelbdnffogkobkekkkej) – 80.000 λήψεις
- AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20.000 λήψεις
Αυτές οι επεκτάσεις κάνουν αυτό που υπόσχονται και γι’ αυτό το λόγο καθίσταται πιο δύσκολο για τα θύματα να παρατηρήσουν την κακόβουλη δραστηριότητά τους. Αν και η χρήση τους δεν επηρεάζει άμεσα τους χρήστες, αποτελούν σοβαρό κίνδυνο.
Επομένως, εάν χρησιμοποιείτε κάποια από τις παραπάνω επεκτάσεις, πρέπει να τις αφαιρέσετε αμέσως από το πρόγραμμα περιήγησής σας.
Πώς λειτουργούν οι κακόβουλες επεκτάσεις;
Σύμφωνα με τους ερευνητές της McAfee, και οι πέντε επεκτάσεις του Google Chrome έχουν παρόμοια συμπεριφορά. Το web app manifest (αρχείο “manifest.json”), το οποίο υπαγορεύει πώς πρέπει να συμπεριφέρεται η επέκταση στο σύστημα, φορτώνει ένα πολυλειτουργικό script (B0.js) που στέλνει τα δεδομένα περιήγησης σε ένα domain που ελέγχουν οι εισβολείς (“langhort[.] com”).
Τα δεδομένα παραδίδονται μέσω POST requests κάθε φορά που ο χρήστης επισκέπτεται μια νέα διεύθυνση URL. Οι πληροφορίες που φτάνουν στον απατεώνα περιλαμβάνουν τη διεύθυνση URL σε μορφή base64, το user ID, την τοποθεσία της συσκευής (χώρα, πόλη, ταχυδρομικός κώδικας) και μια κωδικοποιημένη διεύθυνση URL παραπομπής.
Δείτε επίσης: Phishing: Hackers κρύβουν malware σε εικόνα του James Webb
Εάν ο ιστότοπος που επισκέφτηκε ένας χρήστης αντιστοιχεί σε οποιαδήποτε καταχώρηση σε μια λίστα websites για τα οποία ο συντάκτης της επέκτασης έχει ενεργή σχέση (affiliation), ο διακομιστής απαντά στο B0.js με μία από τις δύο πιθανές λειτουργίες.
- Η πρώτη, “Result[‘c’] – passf_url”, δίνει εντολή στο script να εισαγάγει την παρεχόμενη διεύθυνση URL (σύνδεσμος παραπομπής) ως iframe στον ιστότοπο που επισκεφτήκε ο χρήστης.
- Η δεύτερη, “Result[‘e’] setCookie“, δίνει εντολή στο B0.js να τροποποιήσει το cookie ή να το αντικαταστήσει με το παρεχόμενο, εάν η επέκταση έχει παραχωρηθεί με τα σχετικά δικαιώματα για την εκτέλεση αυτής της ενέργειας.
Η McAfee δημοσίευσε επίσης ένα βίντεο για να δείξει πώς γίνονται οι τροποποιήσεις της διεύθυνσης URL και των cookie σε πραγματικό χρόνο:
Για να αποφύγουν τον εντοπισμό και να μπερδέψουν τους ερευνητές ή και τους πιο προσεκτικούς χρήστες, ορισμένες από τις κακόβουλες επεκτάσεις αρχίζουν να στέλνουν τη δραστηριότητα περιήγησης χρηστών τουλάχιστον 15 ημέρες μετά την αρχική εγκατάσταση.
Δείτε επίσης: Interworks cloud: Κυβερνοεπίθεση στον cloud πάροχο; [updated]
Αυτή τη στιγμή, οι επεκτάσεις “Full Page Screenshot Capture – Screenshotting” και “FlipShope – Price Tracker Extension” εξακολουθούν να είναι διαθέσιμες στο Chrome Web Store.
Οι δύο επεκτάσεις Netflix Party έχουν αφαιρεθεί από το κατάστημα, αλλά αυτό δεν τις διαγράφει από τα προγράμματα περιήγησης, επομένως οι χρήστες θα πρέπει να τις απεγκαταστήσουν μόνοι τους για να πάψουν να παρακολουθούνται.
Περισσότερες λεπτομέρειες μπορείτε να βρείτε στην έκθεση της McAfee. Αυτή η έκθεση υπογραμμίζει τον κίνδυνο εγκατάστασης επεκτάσεων, ακόμη και εκείνων που έχουν πολλούς χρήστες.
Η McAfee συμβουλεύει τους πελάτες της να είναι προσεκτικοί κατά την εγκατάσταση επεκτάσεων Google Chrome και να προσέχουν τα δικαιώματα που ζητούν. Τα δικαιώματα θα εμφανίζονται από το Chrome πριν από την εγκατάσταση της επέκτασης. Οι πελάτες θα πρέπει να λάβουν επιπλέον μέτρα για να επαληθεύσουν την αυθεντικότητα εάν η επέκταση ζητά δικαιώματα που της επιτρέπουν να εκτελείται σε κάθε ιστότοπο που επισκέπτονται.
Πηγή: www.bleepingcomputer.com