Alarm u svetu sajber bezbednosti: 108 Chrome ekstenzija koje kradu vaše podatke!
Bezazlene ekstenzijeza pregledač, koje mnogi korisnici instaliraju bez razmišljanja, pokazale su se kao deo ozbiljne bezbednosne pretnje. Istraživači iz kompanije Socket otkrili su široku kampanju koja obuhvata čak 108 zlonamernih dodataka za Google Chrome, sa desetinama hiljada potencijalno ugroženih korisnika.
Na prvi pogled, ove ekstenzije deluju kao obični alati iz kategorija igara, društvenih mreža ili prevodilačkih servisa. Međutim, iza njihove funkcionalnosti krije se sistematsko prikupljanje osetljivih podataka, koje se odvija bez znanja korisnika.
Jedan napadač - više maski
Iako su ekstenzije distribuirane preko pet različitih naloga programera, analiza je pokazala da dele istu infrastrukturu za upravljanje i kontrolu. To jasno ukazuje na koordinisanu operaciju, verovatno vođenu od strane jednog aktera sa jasno definisanim ciljem.
Centralizovana komandno-kontrolna infrastruktura omogućava prikupljanje i objedinjavanje ukradenih informacija na jednom mestu. Upravo ta organizovanost čini ovu kampanju posebno opasnom i efikasnom.
Tehnike koje brišu granice zaštite
Napadači su koristili više metoda istovremeno, čime su povećali šanse za uspeh. Posebno se izdvaja ekstenzija povezana sa Telegram, koja na svakih 15 sekundi beleži aktivne sesije korisnika, omogućavajući pristup nalozima bez potrebe za lozinkom ili dodatnom autentifikacijom.
Pored toga, pojedini dodaci zloupotrebljavaju OAuth2 dozvole kako bi pristupili podacima naloga, ubacuju neželjene reklame ili otvaraju stranice bez znanja korisnika. Sve to se često dešava u pozadini, čak i kada korisnik ne koristi aktivno ekstenziju.
Skriveni mehanizmi i trajni pristup
Detaljna analiza pokazala je zabrinjavajuće obrasce ponašanja. Više od polovine ekstenzija prikuplja podatke sa korisničkih profila, dok značajan broj sadrži trajne „zadnje ulaze“ koji se aktiviraju pri pokretanju pregledača.
Dodatno, neke ekstenzije ubacuju skripte i reklame na popularnim platformama poput YouTube-a i TikTok-a, dok jedna funkcioniše kao posrednik za prevođenje, preusmeravajući saobraćaj preko servera pod kontrolom napadača.
Opasnost dvostruke prirode i šire mreže
Posebno problematičan aspekt ove kampanje je takozvano „dvostruko ponašanje“. Ekstenzije istovremeno ispunjavaju svoju deklarisanu funkciju, dok paralelno sprovode zlonamerne aktivnosti, što značajno otežava njihovo otkrivanje i uklanjanje.
Cela infrastruktura podržava i model „malver kao usluga“, omogućavajući drugim akterima pristup kompromitovanim podacima i aktivnim sesijama. Iako su bezbednosni timovi obavešteni i proces uklanjanja je pokrenut, u trenutku otkrića sve ekstenzije su i dalje bile dostupne korisnicima.
Kako se zaštititi od zlonamernih ekstenzija
Prvi korak ka zaštiti jeste pažljiv odabir ekstenzija koje instalirate u Google Chrome. Preuzimajte dodatke isključivo iz zvanične prodavnice, proverite recenzije i broj korisnika, ali i dozvole koje ekstenzija zahteva. Ako alat traži pristup podacima koji nisu u vezi sa njegovom funkcijom, to je jasan znak za oprez. Takođe, redovno pregledajte instalirane ekstenzije i uklonite sve koje ne koristite.
Dodatno, uključite dvofaktorsku autentifikaciju gde god je moguće i redovno proveravajte aktivne sesije na svojim nalozima, posebno na servisima kao što je Telegram. Ažuriranje pregledača i sistema, kao i korišćenje pouzdanih bezbednosnih alata, može značajno smanjiti rizik. Najvažnije je razviti naviku opreza jer i naizgled bezazleni dodaci mogu predstavljati ozbiljnu pretnju.
Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.
BONUS VIDEO: