Η επέκταση του προγράμματος περιήγησης Chrome “SearchBlox” που έχει εγκατασταθεί από περισσότερους από 200.000 χρήστες έχει ανακαλυφθεί ότι περιέχει ένα backdoor που μπορεί να κλέψει τα Roblox credentials σας καθώς και τα περιουσιακά σας στοιχεία στο Rolimons, μια πλατφόρμα συναλλαγών Roblox.
Δείτε επίσης: Google: Δημοσίευσε 165 YARA rules για τον εντοπισμό επιθέσεων Cobalt Strike
Η ανάλυση του κώδικα της επέκτασης από το BleepingComputer υποδεικνύει την παρουσία ενός backdoor, το οποίο είτε εισήχθη σκόπιμα από τον προγραμματιστή της είτε μετά από ένα compromise.
Δείτε επίσης: Donut: Η συμμορία εκβιαστών έχει τώρα το δικό της ransomware
Mark Zuckerberg: Ο δεύτερος πλουσιότερος άνθρωπος
Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό
Mark Zuckerberg: Έγινε ο δεύτερος πλουσιότερος άνθρωπος! 💰💰
Η επέκταση Chrome έχει σχεδιαστεί για τους παίκτες του Roblox.
Φαίνεται ότι οι επεκτάσεις ‘SearchBlox’ από το Chrome Web Store έχουν παραβιαστεί, όπως παρατήρησε το BleepingCompuer.
Κατά την έρευνα για το “SearchBlox” στο πρόγραμμα περιήγησης Chrome, το Bleepingcomputer βρήκε δύο επιλογές επέκτασης που και οι δύο ισχυρίζονταν ότι επέτρεπαν στο χρήστη να ψάξει στους servers του Roblox για έναν επιθυμητό παίκτη. Ωστόσο, μετά από περαιτέρω έλεγχο ανακαλύφθηκε ότι αυτές οι επεκτάσεις περιείχαν ένα backdoor.
Τα αναγνωριστικά αυτών των μη ασφαλών επεκτάσεων είναι:
- blddohgncmehcepnokognejaaahehncd
- ccjalhebkdogpobnbdhfpincfeohonni
Νωρίς το πρωί της Τετάρτης, προέκυψαν υποψίες μεταξύ των μελών της κοινότητας Roblox για το SearchBlox που περιείχε κακόβουλο λογισμικό.
Δείτε επίσης: Sharkbot malware: Εισχώρησε στο Play Store μεταμφιεσμένο σε file managers
Το Bleepingcomputer κατέβασε την επέκταση του Chrome για ανάλυση και για την πρώτη επέκταση (blddohgncmehcepnokognejaaahehncd) που κατέβασαν περισσότεροι από 200.000 χρήστες, το backdoor υπάρχει στη γραμμή 3 του αρχείου «content.js»:
Το backdoor για τη δεύτερη επέκταση (ccjalhebkdogpobnbdhfpincfeohonni), η οποία είχε μόνο 959 λήψεις, ήταν κρυμμένη στο αρχείο ‘button.js’.
Και στις δύο περιπτώσεις, η διεύθυνση URL που πρέπει να αποφύγετε είναι:
Σαν να μην ήταν ήδη ενδιαφέρουσα η δομή URL ‘image.png/image.txt’, η σελίδα περιέχει κώδικα HTML που προσποιείται ότι εμφανίζει μια εικόνα χρησιμοποιώντας το tag ‘<img>’, αλλά αντ’ αυτού φορτώνει obfuscated JavaScript που κωδικοποιείται περαιτέρω ως οντότητες χαρακτήρων HTML (χρησιμοποιώντας τα σύμβολα ‘&’ και ‘#’):
Αφού αποκωδικοποιήθηκε ο κώδικας, φάνηκε ότι είχε σχεδιαστεί για να κλέψει τα credentials των χρηστών του Roblox και να τα στείλει σε ένα άλλο domain: releasethen.site.
Είναι ενδιαφέρον να σημειωθεί ότι τόσο το ‘searchblox.site’ όσο και το ‘releasethen.site’ καταχωρήθηκαν πρόσφατα και έχουν τον ίδιο web host, την Hostinger.
Ο κώδικας φαίνεται να ερευνά το προφίλ ενός παίκτη στο Rolimons.com, μια πλατφόρμα συναλλαγών του Roblox. Λαμβάνοντας υπόψη τις σημερινές αναστολές λογαριασμών που λαμβάνουν χώρα στην πλατφόρμα, αυτή η λεπτομέρεια αποκτά όλο και μεγαλύτερη σημασία, όπως εξηγείται παρακάτω.
‘SearchBlox’
Στην πραγματικότητα, αυτή δεν είναι η πρώτη φορά που οι χρήστες του Roblox γίνονται στόχος μιας επέκτασης ‘SearchBlox’.
Τον Οκτώβριο, η Google αφαίρεσε ένα άλλο “SearchBlox” από το Chrome Web Store που υπήρχε τουλάχιστον από τις 28 Ιουνίου 2022.
Το αν το backdoor εισήχθη στην επέκταση μετά από compromise από έναν απειλητικό παράγοντα ή εισήχθη σκόπιμα από τον προγραμματιστή, είναι κάτι που δεν έχει ακόμη καθοριστεί επίσημα.
Ορισμένα μέλη της κοινότητας του Roblox [1, 2, 3, 4] παρατήρησαν ότι το απόθεμα του χρήστη “Unstoppablelucent”, ο οποίος φέρεται να είναι ο δημιουργός της επέκτασης, πολλαπλασιάστηκε εν μία νυκτί. Σήμερα ο χρήστης του Rolimons ‘ccfont’ τερματίστηκε λόγω ύποπτων συναλλαγών στο inventory.
Αυτές οι επεκτάσεις έχουν “καθαρή φήμη” στο VirusTotal, γεγονός που καθιστά πιο δύσκολο τον εντοπισμό τους.
Αρκεί να πούμε ότι οποιοσδήποτε έχει εγκαταστήσει το ‘SearchBlox’ θα πρέπει να αφαιρέσει αμέσως την επέκταση, να διαγράψει τα cookies του και να αλλάξει τους κωδικούς πρόσβασής του για το Roblox, το Rolimons και άλλους ιστότοπους στους οποίους μπορεί να έχουν συνδεθεί κατά τη χρήση της επέκτασης.
Πηγή πληροφοριών: bleepingcomputer.com