Google Chrome extension udviklere i stigende grad rettet af angribere i et forsøg på at kapre brugerens browser trafik ved phishing til følsomme oplysninger.
Chrome Udvidelser på Angribere Hit List
For nylig blev det rapporteret, at en Google Chrome udvidelse ved navn Copyfish blev kompromitteret af sine udviklere efter angriberne var i stand til at narre en af deres teammedlemmer ind reagerer på en phishing-e-mail giver angriberne sine akkreditiver. Dette var ikke tilfældigt. Det er blevet rapporteret, at yderligere mindst syv Chrome udvidelser er blevet kompromitteret af hackere for nylig. En uhyggelig fornemmelse af er snigende op på Chrome-brugere, hvorvidt Google og udvidelser udviklere kan garantere brugerens cybersikkerhed og beskytte deres oplysninger.
Tilbage i juli, udvikleroplysninger tilhører A9t9 Software blev alvorligt kompromitteret, hvorved den meget populære gratis optisk tegngenkendelse udvidelse også kendt som ”Copyfish” blev kapret af angribere og effektivt bruges til at sende spam i en organiseret phishing kampagne. Forskere advarer, at angriberne har forhøjet deres spil siden, søger at udnytte et stort antal Chrome udvidelser at kapre trafik og engagere sig i malvertising. Når angriberne få prøvelse for udvikleren, mest sandsynligt, at ville være gennem emailet phishing kampagner, ondsindede versioner af de legitime udvidelser kunne blive offentliggjort.
Nyligt Kompromitterede Udvidelser og den trussel, de udgør for du
Forskere ved Proofpoint udgivet en rapport mandag fremkalde den fulde liste over kompromitterede udvidelser, herunder sociale Fixer (20.1.1), Web Paint (1.2.1), Chrometana (1.1.3), Infinity ny fane (3.12.3), Udvikler (0.4.9). Alle børsnoterede udvidelser menes at have været ændret af samme person, der bruger den samme modus operandi. Rapporten gør også klart af forskernes lyst til at tro, at Chrome udvidelser TouchVPN og Betternet VPN også blev kompromitteret via den samme metode tidligere i juni i år.
Den ondsindede opførsel, der udvises af de nyligt kompromitterede udvidelser spænder fra substituerende annoncer på brugerens browser; kapring online-trafik fra autentiske og legitime annoncenetværk; og til ofre at blive lokket under falsk påskud til at reparere deres enhed, ved at klikke på falske JavaScript advarsler. Derfor dette fører til brugeren bliver bedt om at reparere deres enhed, som omdirigerer dem til et affilieret program, hvorfra angriberne væsentlige overskud fra.
Rapporten viser også, at ud over at kapring trafik og kørsel ofre for tvivlsomme affilierede programmer, angribere er også blevet fundet i stand til at indsamle og indhente CloudFlare legitimationsoplysninger, give dem nye måder, hvorpå de kunne enhed snedige mulige fremtidige angreb på brugere. Selv om nogle hjemmesider blev rettet af angriberne, forskere har også påpeget, at angriberne meste fokuseret på voksne hjemmesider med omhyggeligt udpegede udskiftninger.
Hvis man omhyggeligt analyserer affiliate destinationssider, der bruges af angriberne - browser-opdatering[.]info og searchtab[.] vil det blive afsløret, at der er en betydelig trafik gennem dem. Hvad der er endnu mere slående er, at searchtab[.]win alene modtog omkring 920,000 besøg på en måned, selv om det er uklart med hensyn til andelen af trafik genereret af den kapret udvidelse.
Chris Pederick som er en af udviklerne at blive påvirket af de forlængerledninger kapringer og udvikleren af Web Developer Chrome udvidelse havde tiltrukket forskernes interesser og bedt en hurtig reaktion fra cybersikkerhed samfund, efter at han tweeted sin udvidelse var blevet kompromitteret.
Forskere var i stand til at få deres hænder på den kompromitterede version af Pederick lokalnummer og isolere det injicerede skadelig kode. Dykke ned i det, koden afslører sig at have tilladt angribere at hente en ekstern fil ved navn ”ga.js” over HTTPS fra en server med et domæne, der er genereret af en automatisk domænenavn generator algoritme. Hvad dette betyder, at det første skridt af koden vil gøre det muligt for angribere at betinget kalde yderligere scripts med en del af disse scripts bruges til at høste CloudFlare legitimationsoplysninger, dermed udenom CloudFlare sikkerhed og gør det muligt for angribere at erstatte annoncer på hjemmesider.
Phishing til Google Chrome-udvidelser kan ikke være en prioritet for mange udviklere, dermed hvorfor problemet har taget alle forfærdet og uventet. Men, med en indsigtsfuld beretning om phishing spørgsmål nu tilgængelig, fremgår det, at udviklerne har intet andet valg end at bruge mere af deres tid specifikt på ikke at falde for phishing-angreb.
