Sajber kriminalci ubacili maliciozni kod u 8 ekstenzija za Chrome koje imaju 4,8 miliona korisnika

Vesti, 16.08.2017, 10:00 AM

Još šest programera ekstenzija za Chrome hakovano je prethodna četiri meseca, objavio je istraživač iz kompanije Proofpoint Kafeine.

Početkom meseca saznalo se da su sajber kriminalci preoteli dve popularne ekstenzije za Chrome, Copyfish i Web Developer. U oba slučaja, napadači su koristili fišing emailove kojima su prevarili programere da im predaju korisnička imena i lozinke za svoje Chrome programerske naloge.

Kafeine je ove nedelje objavio da je identifikovao još šest ekstenzija za Chrome koje su kriminalci preuzeli na isti način. Reč je o ekstenzijama Chrometana 1.1.3, Infinity New Tab 3.12.3, Web Paint 1.2.1, Social Fixer 20.1.1, TouchVPN i Betternet VPN.

Preotimanjem svih osam ekstenzija, napadači su uspeli da isporuče maliciozni kod korisnicima ekstenzija kojih je oko 4,8 miliona.

Zbog ove situacije, Google je pre dve nedelje poslao upozorenje programerima ekstenzija o porastu pokušaja fišinga. Programeri su upozoreni na fišing jer je u svim napadima to bio prvi korak. Pošto bi on bio uspešno okončan, napadači su preuzimali repozitorijum izvornog koda, dodavali maliciozni kod, zatim bi prepakovali ekstenziju i isporučili ažuriranje koje sadrži maliciozni kod.

Kafeine je analizirao maliciozni kod koji je pronašao u preotetim ekstenzijama. Prema njegovim rečima maliciozni kod radi sledeće: čeka deset minuta pošto se ekstenzija ažurira, preuzima JavaScript fajl sa nasumično DGA generisanog domena, prikuplja Cloudflare kredencijale iz browsera korisnika, zamenjuje reklame na legitimnim sajtovima reklamama po izboru napadača, prikazuje iskačuće obaveštenje o grešci i preusmerava korisnika na novi web sajt što je deo partnerskog programa za preusmeravanje saobraćaja. Sve ovo donosi zaradu napadačima.

Napadi na programere ekstenzija su prema rečima istraživača Proofpointa započeli u maju ove godine. Ali Kafeine kaže da je nešto od ove infrastrukture koja je korišćena u ovim napadima povezano sa malicioznom ekstenzijom za Chrome koja je isporučivala maliciozni juna prošle godine.

Ovo pokazuje da su oni koji stoje iza ovih napada dobro upućeni u funkcionisanje ekstenzija za Chrome i Chrome Web Store, i da će nastaviti sa napadima, uprkos tome što su razotkriveni poslednjih nekoliko nedelja.