Восемь расширений Chrome взломаны для доставки вредоносного кода 4,8 миллионам пользователей

Согласно новым свидетельствам, опубликованным вчера исследователем Proofpoint Kafeine, за последние четыре месяца расширение Chrome было взломано еще шести разработчикам.

Ранее в этом месяце мы сообщали об угоне двух расширений Chrome под названием Copyfish и Web Developer . В обоих случаях злоумышленники использовали фишинговые электронные письма, чтобы обманом заставить разработчиков передать учетные данные для входа в свои учетные записи разработчиков Chrome.

Угнаны еще шесть расширений Chrome

Вчера, после некоторого умного расследования, исследователь безопасности Kafeine обнаружил еще шесть расширений Chrome, которые были похищены таким же образом.

Суммируя общее количество установок для всех восьми расширений, злоумышленникам удалось доставить свой вредоносный код почти 4,8 миллионам пользователей.

Google отправил уведомление по электронной почте две недели назад, потому что во всех атаках фишинг был первым этапом процесса взлома. Этот процесс продолжился, когда злоумышленники захватили репозиторий исходного кода расширения, добавили вредоносный код, переупаковали расширение и выпустили обновление, содержащее вредоносный код.

Злоумышленники сосредоточились на замене рекламы, навязчивых всплывающих окнах
Хотя изначально анализ этого кода был грубым, теперь у нас есть более подробная информация благодаря анализу Kafeine вредоносного кода, обнаруженного в некоторых из перехваченных расширений.

По словам исследователя Proofpoint, вредоносный код, добавленный к этим расширениям, был специально создан для выполнения следующих операций:

  • Подождите не менее десяти минут после установки / обновления расширения
  • Получите файл JavaScript из случайного домена, созданного DGA
  • Получите учетные данные Cloudflare из браузера пользователя
  • Замените рекламу на законных сайтах рекламой, предоставленной угонщиком
  • Большинство замен произошло на порталы для взрослых и 33 точных размера баннеров
  • покажите всплывающее окно, предупреждающее пользователей об ошибке, и перенаправьте их на новый веб-сайт, часть партнерской программы перенаправления трафика

Злоумышленники активны как минимум с июня 2016 г.

Все эти действия принесли злоумышленникам небольшую прибыль. Хотя фишинговые и захватывающие атаки происходили с мая 2017 года, Kafeine связал часть инфраструктуры, используемой в этих сложных операциях, с вредоносным расширением Chrome, которое, как было обнаружено, доставляло вредоносный код через скрипты согласия cookie еще в июне 2016 года .

Это показывает, что лица, стоящие за этими атаками, хорошо осведомлены о внутренней работе расширений Chrome и Интернет-магазина Chrome и, скорее всего, продолжат свою работу, несмотря на публичное разоблачение в последние недели.

Хотя нет определенного доказательства, связывающего все эти взломы расширений Chrome с одной и той же группой, это не может быть простым совпадением, и существует высокая вероятность того, что все вышеперечисленные атаки были выполнены одной и той же группой или одним человеком.

По словам Кафейне, более тревожным было то, что мошенники собрали учетные данные Cloudflare, которые, по мнению исследователя, могут предоставить злоумышленникам новые средства и инфраструктуру для будущих атак.

Источник

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *