Μια σημαντική παραβίαση ασφαλείας έχει θέσει σε κίνδυνο περισσότερους από 3,2 εκατομμύρια χρήστες μέσω ενός δικτύου κακόβουλων επεκτάσεων προγράμματος περιήγησης. Αυτές οι επεκτάσεις, οι οποίες θεωρούνται νόμιμες, διαπιστώθηκε ότι εισάγουν επιβλαβή σενάρια, κλέβουν δεδομένα, ακόμη και εμπλέκονται σε απάτη στις μηχανές αναζήτησης.
Οι ερευνητές έχουν διαπιστώσει ότι η επίθεση εκτελέστηκε μέσω συμβιβασμού στην αλυσίδα εφοδιασμού, όπου οι εισβολείς διείσδυσαν σε αξιόπιστες επεκτάσεις και προώθησαν κακόβουλες ενημερώσεις χωρίς καν οι χρήστες να συνειδητοποιήσουν ότι συμβαίνει.
Οι εν λόγω επεκτάσεις σχεδιάστηκαν αρχικά για αποκλεισμό διαφημίσεων, πληκτρολόγια emoji και screen capture, για να αναφέρουμε μερικές. Ωστόσο, οι ενημερώσεις εισήγαγαν συγκεχυμένα σενάρια που επέτρεπαν τη μη εξουσιοδοτημένη εξαγωγή δεδομένων, τροποποιήσεις αιτημάτων HTTP και εισαγωγή διαφημίσεων σε ιστοσελίδες. Όλες αυτές οι αλλαγές παρέμειναν απαρατήρητες από χρήστες που είχαν παραχωρήσει νωρίτερα δικαιώματα σε αυτές τις επεκτάσεις, οι οποίες επέτρεψαν στους εισβολείς να χειριστούν τη δραστηριότητα του ιστού σε πραγματικό χρόνο.
Πολλοί ειδικοί σε θέματα ασφάλειας έχουν επισημάνει ότι τα δικαιώματα που χορηγούνται σε αυτές τις επεκτάσεις, συμπεριλαμβανομένων των ελέγχων πρόσβασης κεντρικού υπολογιστή και δέσμης ενεργειών, τις κατέστησαν ιδιαίτερα επικίνδυνες.
Ακολουθεί η πλήρης λίστα και των 16 επεκτάσεων του Chrome που επηρεάζονται:
- Blipshot (one click full page screenshots)
- Emojis - Emoji Keyboard
- WAToolkit
- Color Changer for YouTube
- Video Effects for YouTube and Audio Enhancer
- Themes for Chrome and YouTube™ Picture in Picture
- Mike Adblock für Chrome | Chrome-Werbeblocker
- Page Refresh
- Wistia Video Downloader
- Super Dark Mode
- Emoji Keyboard Emojis for Chrome
- Adblocker for Chrome - NoAds
- Adblock for You
- Adblock for Chrome
- Nimble Capture
- KProxy
Οι έρευνες εντόπισαν αυτήν την επίθεση σε παραβιασμένους λογαριασμούς προγραμματιστών. Ορισμένοι προγραμματιστές κατέληξαν εν αγνοία τους να μεταφέρουν τον έλεγχο των επεκτάσεών τους στους εισβολείς, οι οποίοι στη συνέχεια διένειμαν κακόβουλες ενημερώσεις μέσω των επίσημων καταστημάτων επεκτάσεων του προγράμματος περιήγησης. Η υποδομή αυτής της επίθεσης φαίνεται να συνδέεται με παλαιότερα γνωστές λειτουργίες phishing. Οι επιτιθέμενοι το πέτυχαν αυτό εκμεταλλευόμενοι άδειες όπως 'host_permissions', 'scripting' και 'declarativeNetRequest'.
Μια άλλη ανησυχητική πτυχή αυτής της καμπάνιας είναι η ομοιότητά της με προηγούμενες επιθέσεις στην αλυσίδα εφοδιασμού, όπου οι εισβολείς οπλίζουν αξιόπιστο λογισμικό για να διαδώσουν κακόβουλο λογισμικό. Η χρήση μηχανισμών ενημέρωσης επεκτάσεων προγράμματος περιήγησης επιτρέπει στους εισβολείς να παρακάμψουν τα παραδοσιακά μέτρα ασφαλείας.
Προς το παρόν, οι προσδιοριζόμενες επεκτάσεις έχουν αφαιρεθεί από τις επίσημες πλατφόρμες. Ανεξάρτητα από αυτό, συνιστάται στους χρήστες να μην βασίζονται αποκλειστικά σε θετικές κριτικές για τις επεκτάσεις πριν εγκαταστήσουν νέες επεκτάσεις.
follow us
Για να μην χάνεις τα νέα μας ακολούθησε μας στο Google News, αλλά και σε Facebook, Instagram, Youtube
