Ένας μέχρι στιγμής άγνωστος κυβερνοεγκληματίας φέρεται να βρίσκεται πίσω από τη δημιουργία και διάθεση κακόβουλων επεκτάσεων Google Chrome, οι οποίες από τον Φεβρουάριο του 2024 έχουν εισχωρήσει στο Chrome Web Store μεταμφιεσμένες σε νόμιμες εφαρμογές παραγωγικότητας και χρήσιμα εργαλεία καθημερινής χρήσης.
Σύμφωνα με αναφορά της DomainTools Intelligence (DTI), ο επιτιθέμενος δημιουργεί websites που μιμούνται νόμιμες υπηρεσίες, όπως VPNs, εργαλεία ανάλυσης διαφημίσεων, βοηθητικά προγράμματα για media, πλατφόρμες crypto και υπηρεσίες τραπεζικού τύπου και κατευθύνουν τους χρήστες σε αντίστοιχες επεκτάσεις Chrome. Ωστόσο, πίσω από την «βιτρίνα» τους, ενσωματώνουν προηγμένες λειτουργίες κατασκοπείας και ελέγχου, όπως κλοπή διαπιστευτηρίων και cookies, session hijacking, παρεμβολή διαφημίσεων, κακόβουλες ανακατευθύνσεις, και εκτέλεση αυθαίρετου κώδικα μέσω απομακρυσμένων εντολών.
Δείτε επίσης: Έρευνα: Πολλές επεκτάσεις browser αποτελούν κίνδυνο για επιχειρήσεις
Ένα κρίσιμο τεχνικό χαρακτηριστικό είναι η κατάχρηση του αρχείου manifest.json, το οποίο ρυθμίζεται ώστε να παραχωρεί υπερβολικά δικαιώματα πρόσβασης. Αυτό επιτρέπει στις επεκτάσεις να αλληλεπιδρούν με οποιονδήποτε ιστότοπο επισκέπτεται ο χρήστης, να επικοινωνούν με κακόβουλους servers και να ενσωματώνουν κακόβουλο περιεχόμενο σε πραγματικό χρόνο.
Η ανάλυση της DTI εντόπισε επίσης τη χρήση του onreset event handler σε ένα document object model (DOM) element, πιθανώς ως μέσο για την παράκαμψη των πολιτικών ασφάλειας περιεχομένου (CSP), ενισχύοντας τις δυνατότητες εκτέλεσης κακόβουλου κώδικα σε σελίδες που διαφορετικά θα περιόριζαν τέτοιες ενέργειες.
Κακόβουλες επεκτάσεις Chrome προωθούνται μέσω ψεύτικων ιστοτόπων
Όπως προείπαμε, οι κακόβουλες επεκτάσεις Chrome προωθούνται μέσω ψεύτικων ιστοτόπων που μιμούνται νόμιμες υπηρεσίες και προϊόντα. Σύμφωνα με το DomainTools Intelligence (DTI), μεταξύ των πλαστών σελίδων που χρησιμοποιούνται ως «δολώματα» περιλαμβάνονται απομιμήσεις γνωστών brands όπως DeepSeek, Manus, DeBank, FortiVPN και Site Stats, με σκοπό να ξεγελάσουν ανυποψίαστους χρήστες να εγκαταστήσουν τις επεκτάσεις.
Αφού εγκατασταθούν, τα κακόβουλα πρόσθετα συλλέγουν cookies του προγράμματος περιήγησης, κατεβάζουν αυθαίρετα JavaScript από απομακρυσμένους διακομιστές και δημιουργούν συνδέσεις WebSocket, που λειτουργούν ως network proxy για την παρακολούθηση και δρομολόγηση του traffic των θυμάτων.
Παρόλο που παραμένει ασαφές πώς οι χρήστες φτάνουν σε αυτούς τους πλαστούς ιστότοπους, οι ερευνητές εκτιμούν ότι τεχνικές phishing και προώθηση μέσω social media παίζουν σημαντικό ρόλο. Όπως επισημαίνει η DTI: «Επειδή οι κακόβουλες επεκτάσεις φιλοξενούνται στο Chrome Web Store και συνοδεύονται από καλοφτιαγμένους ιστότοπους, εμφανίζονται σε αποτελέσματα αναζήτησης τόσο στο διαδίκτυο όσο και εντός του ίδιου του Chrome store».
Δείτε επίσης: Κακόβουλες επεκτάσεις VSCode μολύνουν τα Windows με cryptominer
Ιδιαίτερα ανησυχητικό είναι το γεγονός ότι πολλοί από τους παραπλανητικούς ιστότοπους περιλαμβάνουν Facebook tracking IDs, γεγονός που υποδεικνύει ότι πιθανόν να αξιοποιείται η πλατφόρμα της Meta για την προώθηση των κακόβουλων εφαρμογών – ενδεχομένως μέσω σελίδων, ομάδων ή ακόμη και πληρωμένων διαφημίσεων.
Μέχρι στιγμής, η ταυτότητα των κυβερνοεγκληματιών παραμένει άγνωστη, ωστόσο έχουν καταγραφεί περισσότερες από 100 ψεύτικες ιστοσελίδες και επικίνδυνες επεκτάσεις Chrome. Η Google έχει ήδη αφαιρέσει τις συγκεκριμένες επεκτάσεις από το Web Store, χωρίς όμως αυτό να σημαίνει ότι η απειλή έχει εξαλειφθεί, καθώς τέτοιες καμπάνιες συχνά εμφανίζονται εκ νέου με παραλλαγές.
Ψεύτικες επεκτάσεις Chrome: Πώς να προστατευτείτε
Με φόντο τις πρόσφατες αποκαλύψεις για τη μαζική διανομή κακόβουλων επεκτάσεων Chrome, οι ειδικοί του χώρου της κυβερνοασφάλειας καλούν τους χρήστες να είναι ιδιαίτερα προσεκτικοί κατά την εγκατάσταση πρόσθετων από το Chrome Web Store. Συστήνεται η λήψη επεκτάσεων μόνο από επαληθευμένους προγραμματιστές, η προσεκτική εξέταση των δικαιωμάτων που ζητούν, καθώς και η αξιολόγηση των κριτικών χρηστών πριν από την εγκατάσταση. Επιπλέον, η αποφυγή επεκτάσεων που φαίνονται ύποπτα παρόμοιες με γνωστές εφαρμογές αποτελεί βασικό μέτρο πρόληψης.
Δείτε επίσης: Η νέα επίθεση Polymorphic μιμείται επεκτάσεις του Chrome
Ωστόσο, όπως αποκαλύπτει νέα έρευνα της DomainTools, ακόμα και οι κριτικές δεν αποτελούν απόλυτο δείκτη αξιοπιστίας. Σε ορισμένες περιπτώσεις, οι επιτήδειοι χειραγωγούν το σύστημα αξιολογήσεων, αποκρύπτοντας αρνητικά σχόλια και προβάλλοντας μόνο θετικά. Η τακτική αυτή δείχνει ξεκάθαρα μια προσπάθεια ενίσχυσης της αξιοπιστίας των επεκτάσεων, καθιστώντας ακόμη πιο απαραίτητη τη διασταύρωση πληροφοριών και τη διατήρηση ψηφιακής εγρήγορσης από τους χρήστες.
Πηγή: thehackernews.com
