Malver u ekstenzijama za Chrome i Microsoft Edge inficirao milione korisnika
Vesti, 04.02.2021, 09:00 AM
Avast je otkrio na desetine ekstenzija za Chrome i Microsoft Edge za koje je utvrđeno da preuzimaju klikove na linkove na stranicama rezultata pretrage i vode do fišing sajtova i oglasa.
Problematične ekstenzije dobile su grupni naziv "CacheFlow", a reč je o čak 28 dodataka za veb pregledače, uključujući Video Downloader za Facebook, Vimeo Video Downloader, Instagram Story Downloader i VK Unblock. Ekstenzije su koristile Cache-Control HTTP zaglavlje kao tajni kanal za preuzimanje komandi sa servera koji su kontrolisali napadači.
Google i Microsoft su iz svojih prodavnice uklonili sve ove dodatke za pregledače 18. decembra 2020. godine.
Prema telemetrijskim podacima koje je prikupio Avast, najviše zaraženih korisnika je bilo u Brazilu, Ukrajini i Francuskoj, Argentini, Španiji, Rusiji i SAD.
Infekcija je započinjala kada bi korisnici preuzeli jedan od spornih dodataka koji su nakon instalacije slali serveru zahteve za analitiku nalik na Google Analytics, a server bi zatim vratio Cache-Control zaglavlje sa skrivenim komandama za preuzimanje payloada druge faze koji je funkcionisao kao downloader za JavaScript malver.
Ovaj malver je prikupljao podatke kao što su datumi rođenja, e-mail adrese, geolokacija i aktivnosti uređaja, sa posebnim fokusom na prikupljanje podataka od Googlea.
U poslednjem koraku, malver je ubacivao još jedan deo JavaScripta u svaku karticu, koristeći ga za otimanje klikova koji su vodili do legitimnih veb sajtova, kao i za modifikovanje rezultata pretrage sa Googlea, Binga ili Yahooa da bi se žrtva preusmerila na drugi URL.
Ekstenzije su, zanimljivo, izbegavale infekciju uređaja korisnika za koje je procenjeno da su veb programeri, a takođe su konfigurisane da ne pokazuju sumnjivo ponašanje tokom prva tri dana nakon instalacije.
Avast je rekao da su brojni trikovi koje su autori malvera koristili da bi izbegli otkrivanje možda presudni faktor koji im je omogućio da krišom zaraze milione korisnika, a dokazi ukazuju da je kampanja možda bila aktivna bar od oktobra 2017.
Izdvojeno
Google oglasi za Facebook vode do sajtova prevaranata
Google ima problem sa oglasima u pretrazi, upozorio je programer Džastin Poliačik, a njegove reči potvrdili su i istraživači kompanije Malwarebyt... Dalje
Zloglasna ransomware grupa HelloKitty najavila povratak i novo ime
Sajber kriminalci iz ransomware grupe ranije poznate kao HelloKitty objavili su da se naziv grupe menja u „HelloGookie“. Oni su objavili n... Dalje
Piramidalna šema prevare na Telegramu
Istraživači kompanije Kasperski upozorili su na prevarante koji koriste sofisticiranu taktiku da ukradu Toncoine (TON) od korisnika Telegrama širom... Dalje
Od početka godine ransomware grupa Akira napala 250 organizacija od kojih je pokušala da naplati 42 miliona dolara
Da posao sa ransomwareom cveta pokazuju i podaci o ransomware grupi Akira koja je za manje od godinu dana rada iznudila milione od na stotine pogođen... Dalje
Microsoft je i dalje brend koji se najviše zloupotrebljava u phishing napadima
Prema podacima kompanije Check Point, Microsoft je brend koji se najviše zloupotrebljavao, u čak 38% svih phishing napada u prvom kvartalu 2024. Ovo... Dalje
Pratite nas
Nagrade