Malver u browseru: kako su maliciozne ekstenzije za Chrome preuzimale kontrolu nad Facebook nalozima

Vesti, 20.07.2016, 08:00 AM

Maksim Kjaer, devetnaestogodišnji student iz Danske otkrio je niz ekstenzija za Google Chrome koje su preotimale Facebook naloge.

Ekstenzije su se širile preko Facebook objava različite vrste, a korisnici koji bi kliknuli na linkove u ovim objavama dospevali bi na sajt na kome se od njih tražilo da verifikuju svoje godine. Za razliku od drugih sajtova koji imaju formu za unos godina, ovde se od korisnika tražilo da instaliraju neku od mnogobrojnih ekstenzija za Chrome.

Sve ekstenzije su imale slične nazive, a svi nazivi ekstenzija su sadržali reči kao što su “viral”, “age” i “verify”. Sve ekstenzije su se nalazile u Chrome Web Store, što je pomoglo kriminalcima koji su distribruirali ekstenzije da odagnaju svaku sumnju kod korisnika o legitimnosti ekstenzija.

Sve ekstenzije su tražile dozvole, kao što je mogućnost čitanja i menjanja podatka korisnika na web sajtovima koje posećuje, koje su omogućavale ekstenzijama da preuzmu potpunu kontrolu nad sajtovima koje je korisnik posetio.

Ekstenzija čiji je kod analizirao Kjaer sadržala je samo tri fajla. Njeno funkcionisanje nije moglo biti pauzirano, već bi ona radila od momenta pokretanja browsera sve dok se on koristi.

Samo treći fajl je bio odgovoran za maliciozne aktivnosti estenzije. Ova skripta bi se povezala sa serverom i preuzela bi drugu skriptu, koja bi kasnije bila izvršena.

To je uobičajeno za maliciozne ekstenzije za Chrome, jer Google vrši automatsku proveru ekstenzija pre nego što se one nađu u Chrome Web Store, te stoga one ne mogu da sadrže maliciozni kod, već ga moraju kasnije preuzeti.

Ta preuzeta maliciozna skripta mogla je da šalje zahteve i dobija instrukcije sa komandno-kontrolnog servera.

Tokom Kjaerovog eksperimenta, server je rekao njegovom browseru da pristupi Facebookovom URL-u koji je otkrio njegov pristupni token.

Zahvaljujući dozvoli da čita i menja sve podatke korisnika na web sajtovima koje posećuje koju je Kjaer dao ekstenziji prilikom instalacije, kriminalci su mogli da dođu do njegovog pristupnog tokena.

Skripta bi zatim poslala taj pristupni token komandno-kontrolnom serveru, što je omogućavalo pristup nalogu korisnika bez njegovog znanja. U ovom slučaju, C&C server je poslao komandu browseru da lajkuje Facebook stranicu koju Kjaer nikada pre nije video.

I ovo nije sve što C&C server može da traži od browera, on praktično može sve.

To uključuje i beleženje otkucane lozinke, pretplatu na YouTube kanale, DDoS napade, kopanje bitcoina, čitanje emailova i sve drugo što korisnik može raditi iz Chromea.

Prema procenama danskog studenta, maliciozne ekstenzije su instalirane na 132265 računara.

On je prijavio IP adrese koje su korišćene za preuzimanje maliciozne skripte i C&C servere kompaniji Digital Ocean koja ih je hostovala.

O ovome je obaveštena i kompanija Google, koja je uklonila maliciozne ekstenzije iz Chrome Web Store i stavila ih na crnu listu, što znači da su one automatski uklonjene iz svih inficiranih browsera.