Pratite nas preko RSS-a108 Chrome ekstenzija krade podatke korisnika
Vesti, 15.04.2026, 11:30 AM
Istraživači iz Socket-a otkrili su veliku kampanju koja uključuje 108 zlonamernih ekstenzija za Google Chrome, sa procenjenih 20.000 pogođenih korisnika.
Ekstenzije, iz kategorija kao što su igre, alati društvenih medija i programi za prevođenje, deluju legitimno, ali tajno prikupljaju osetljive podatke. Sve su povezane sa jedinstvenom komandno-kontrolnom (C2) infrastrukturom kako bi operateri mogli da agregiraju ukradene informacije na jednom mestu.
Iako su objavljene pod pet različitih naloga programera, istraživači su identifikovali zajedničku komandno-kontrolnu (C2) infrastrukturu, kao i slične obrasce ponašanja, što ukazuje na koordinisanu operaciju jednog aktera.
Istraživači su primetili nekoliko različitih tehnika napada koje se koriste istovremeno. Posebno se izdvaja ekstenzija fokusirana na Telegram, koja na svakih 15 sekundi beleži aktivne sesije, omogućavajući napadačima potpuni pristup nalozima bez potrebe za lozinkom ili MFA kodom.
Dodatno, pojedine ekstenzije prikupljaju podatke Google naloga putem OAuth2 dozvola, ubacuju reklame zaobilazeći zaštitu pregledača ili otvaraju proizvoljne stranice kroz skrivene backdoor mehanizme. Mnoge rade kontinuirano u pozadini, čak i ako korisnici nemaju nikakvu interakciju sa njima.
Ključna identifikovana ponašanja su da 54 ekstenzije prikupljaju podatke Google profila, 45 sadrži trajni backdoor koji se aktivira pri pokretanju pregledača, više alata ubacuje skripte ili reklame na platformama poput YouTube-a i TikTok-a i da jedna ekstenzija funkcioniše kao proksi za prevođenje preusmeravajući saobraćaj kroz servere napadača.
Poseban problem predstavlja tzv. “dual behavior” — ekstenzije istovremeno rade ono što obećavaju, ali paralelno izvršavaju maliciozne aktivnosti u pozadini, što otežava njihovo otkrivanje.
Infrastruktura podržava i model Malware-as-a-Service, omogućavajući trećim stranama pristup ukradenim podacima i aktivnim sesijama.
U trenutku otkrića, svih 108 ekstenzija i dalje je bilo dostupno za preuzimanje. Međutim, u međuvremenu su obavešteni odgovarajući bezbednosni timovi i pokrenuti zahtevi za njihovo uklanjanje.
Izdvojeno
Lažni Claude AI sajtovi preko Google oglasa šire malver
Istraživači iz kompanije Trend Micro otkrili su novu kampanju pod nazivom “InstallFix”, u kojoj napadači koriste lažne sajtove za inst... Dalje
Telegram Mini Apps se koriste za kripto prevare i širenje Android malvera
Istraživači iz CTM360 otkrili su veliku prevarantsku mrežu pod nazivom FEMITBOT, koja koristi Telegram Mini Apps za širenje lažnih investicionih ... Dalje
Microsoft Edge čuva sve lozinke u memoriji: stručnjaci upozoravaju na rizik
Microsoft Edge učitava svaku sačuvanu lozinku u memoriju procesa u trenutku pokretanja pregledača i čuva je tamo kao čisti tekst, čak i ako kori... Dalje
Maliciozni Google oglasi šire MacSync: lažni Homebrew inficira macOS uređaje
Klik na prvi rezultat u Google pretrazi za popularni macOS alat Homebrew može dovesti do instalacije zlonamernog umesto legitimnog softvera, upozorav... Dalje
Bombardovanje imejlovima i lažna IT podrška: novi talas napada na korisnike Microsoft Teams-a
Nova kampanja sajber napada cilja zaposlene u kompanijama kombinacijom bombardovanja imejlovima i lažne IT podrške na Microsoft Teams-u, navodeći k... Dalje
Pratite nas
Nagrade
Prijatelji
