Specjaliści z Socket zajmujący się cyberbezpieczeństwem poinformowali, że w kwietniu wykryli 108 rozszerzeń dla Google Chrome, które mogą stanowić zagrożenie dla internautów. Ustalono, że do tej pory wykonano ok. 20 tys. pobrań.
Google Chrome i szemrane rozszerzenia. Co ustalono do tej pory?
„Rozszerzenia są publikowane pod pięcioma różnymi tożsamościami wydawców – Yana Project, Game Gen, Side Games, Rodeo Games i Inter Alt” – przekazał Kush Pandya z Socket. Do najpopularniejszych aplikacji należą rozszerzenia: Telegram Multi-account, Web Client for Telegram – Teleside czy Formula Rush Racing Game. Ostatnie uzyskuje dane z konta Google, a dwa wcześniejsze przechwytują dane z Telegrama.
Jak ustalono, 54 rozszerzenia mają kraść tożsamość konta Google, korzystając z protokołu OAuth2. Z kolei 45 kolejnych ma zawierać „uniwersalne tylne drzwi, które otwierają dowolne adresy URL podczas uruchamiania przeglądarki”. Jedno z nich ma aktywnie eksfiltrować sesje Telegram Web, a następnie obejmuje infrastrukturę etapową odpowiednią do kradzieży nieaktywnej sesji Telegramu.
Dwa rozszerzenia mają usuwać nagłówki, które zabezpieczają YouTube i wrzucać reklamy. Kolejne robi to samo w przypadku TikToka. Dwa następne przesyłają skrypty treści na strony odwiedzane przez użytkownika, a ostatnie przekazuje żądania tłumaczeń przez serwer sprawcy zagrożenia.
W raporcie poinformowano, że przekazano żądania usunięcia rozszerzeń do zespołu ds. bezpieczeństwa Chrome Web Store i Google Safe Browsing.
Podejrzane oprogramowania dla Chrome i Telegrama. Trop prowadzi do Rosji
Ekspert dodał także, że rozszerzenia mają kierować „dane uwierzytelniające, tożsamości użytkowników i dane przeglądania na serwery kontrolowane przez tego samego operatora”. Nie ujawniono dokładnej tożsamości sprawców, jednak według kodu źródłowego rozszerzeń prawdopodobnie pochodzą z języka rosyjskiego.
Co należy zrobić, aby zabezpieczyć się przed kradzieżą danych z Google Chrome
Eksperci radzą, aby osoby, które korzystają z przeglądarki Google Chrome natychmiast usunęły wszystkie rozszerzenia wymienione jako niebezpieczne.