Lažni PDF u vašem inboxu: Chrome ekstenzija iz pakla jedim klik otvara vrata krađi naloga!
Istraživači bezbednosti upozoravaju na kampanju u kojoj napadači šalju datoteke koje na prvi pogled deluju kao obični PDF dokumenti. Međutim, u pitanju su JavaScript fajlovi sa ekstenzijom koja samo imitira PDF format. Ovakva zamena tipa fajla oslanja se na nepažnju korisnika i vizuelnu sličnost naziva dokumenta.
Cilj ovakvog pristupa je da prevari korisnike da pokrenu fajl, verujući da otvaraju bezopasan dokument. Kada se fajl aktivira, započinje proces preuzimanja malvera na Windows sistem. Time se pokreće lanac infekcije koji može dovesti do kompromitovanja pregledača i sistemskih podešavanja.
Instalacija Chrome ekstenzije
Nakon pokretanja lažnog PDF fajla, sistem preuzima dodatne komponente koje vode ka instalaciji zlonamerne ekstenzije u Google Chrome pregledaču. Ekstenzija je dizajnirana da izgleda legitimno i da se uklopi u uobičajen rad pregledača. U pojedinim slučajevima, korisnik ne primećuje nikakve vidljive promene, jer se instalacija odvija u pozadini.
Tokom tog procesa, menjaju se podešavanja Chrome-a kako bi se ekstenzija prikazala kao da ju je instalirao administrator sistema. Na taj način se zaobilaze standardne bezbednosne provere. Ovakva manipulacija postavkama pregledača omogućava napadačima veću kontrolu nad okruženjem i smanjuje šansu za automatsku detekciju.
Zloupotreba PowerShell alata
U okviru napada koristi se PowerShell, ugrađeni alat u Windows operativnom sistemu. Napadači ga koriste za izvršavanje skripti koje omogućavaju instalaciju i upravljanje zlonamernim komponentama. Ovaj alat je često prisutan u administraciji sistema, što ga čini pogodnim za zloupotrebu u napadima koji žele da ostanu neprimećeni.
Ovaj pristup je posebno opasan jer se legitimne sistemske funkcije koriste za skrivanje aktivnosti. Zbog toga je teže uočiti sumnjivo ponašanje u sistemu. Dodatno, napadi ovog tipa često ostavljaju malo direktnih tragova u korisničkom interfejsu, što otežava brzu reakciju.
Krađa kolačića i korisničkih sesija
Kada ekstenzija postane aktivna, počinje prikupljanje podataka iz pregledača. To uključuje kolačiće, informacije o otvorenim karticama, URL adrese i jezička podešavanja. Ovi podaci se prikupljaju u pozadini, bez ikakvog obaveštenja korisniku, što dodatno povećava rizik od zloupotrebe.
Ovi podaci mogu omogućiti napadačima pristup aktivnim sesijama korisnika bez potrebe za lozinkom. U određenim slučajevima, to može zaobići i dodatne bezbednosne mere kao što je višefaktorska autentifikacija. Posebno je rizično kada se kompromituju sesije na servisima koji ne zahtevaju ponovno logovanje duži vremenski period.
Zloupotreba Chrome Native Messaging
Istraživači ističu zloupotrebu mehanizma Chrome Native Messaging, koji inače omogućava komunikaciju između ekstenzija i lokalnih aplikacija. U ovom slučaju, koristi se kao kanal preko koga se izvršavaju PowerShell komande.
Stručnjaci savetuju da se ne otvaraju prilozi iz sumnjivih imejlova i da se pažljivo proveravaju ekstenzije fajlova. Takođe je važno redovno proveravati instalirane Chrome ekstenzije i uklanjati one koje nisu poznate ili potrebne. Dodatna zaštita uključuje odjavljivanje sa važnih naloga nakon korišćenja, kako bi se prekinule aktivne sesije.
Kako se zaštititi od ovakvih napada
Najvažnija zaštita počinje oprezom prilikom otvaranja priloga iz imejlova, posebno ako dolaze iz nepoznatih ili sumnjivih izvora. Korisnici bi trebalo da obrate pažnju na stvarnu ekstenziju fajla, jer se zlonamerni dokumenti često maskiraju da izgledaju kao PDF ili drugi uobičajeni formati.
Preporučuje se i redovna provera instaliranih ekstenzija u Google Chrome pregledaču, uz uklanjanje onih koje nisu prepoznate ili potrebne. Dodatno, odjavljivanje sa važnih naloga nakon korišćenja i povremeno brisanje aktivnih sesija može smanjiti rizik od zloupotrebe ukradenih kolačića.
Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.
