16 népszerű Chrome-bővítményt, köztük az "Adblock for Chrome"-ot is eltérítették egy masszív kibertámadásban

Egy jelentős biztonsági rés több mint 3,2 millió felhasználót veszélyeztetett egy rosszindulatú böngészőbővítményekből álló hálózaton keresztül. Ezek a szándékosan legitimnek tűnő bővítményekről kiderült, hogy káros szkripteket juttatnak be, adatokat lopnak, sőt, még keresőmotoros csalást is elkövetnek. A kutatói megállapították, hogy hogy a támadást egy ellátási lánc kompromittálásán keresztül hajtották végre, ahol a támadók beszivárogtak a megbízható bővítményekbe, és rosszindulatú frissítéseket küldtek anélkül, hogy a felhasználók észrevették volna, hogy ez történik.

A szóban forgó bővítményeket eredetileg reklámblokkolásra, emoji-billentyűzetre és képernyőfelvételre tervezték, hogy csak néhányat említsünk. A frissítések azonban olyan elhomályosított szkripteket vezettek be, amelyek lehetővé tették az adatok jogosulatlan kiszivárgását, a HTTP-kérelmek módosítását és a hirdetések weboldalakba történő bejuttatását. Mindezek a változások észrevétlenek maradtak azon felhasználók számára, akik korábban engedélyeket adtak ezeknek a bővítményeknek, ami lehetővé tette a támadók számára, hogy valós időben manipulálják a webes tevékenységet. Több biztonsági szakértő is rámutatott, hogy az ezeknek a bővítményeknek megadott engedélyek, köztük a hoszt-hozzáférés és a szkriptvezérlés, különösen veszélyessé tették őket.

Íme a 16 érintett Chrome-bővítmény teljes listája:

• Blipshot (egy kattintással teljes oldalas képernyőképek)
• Emojis - Emoji billentyűzet
• WAToolkit
• Színváltó a YouTube-hoz
• Video Effects for YouTube és Audio Enhancer
• Témák a Chrome és a YouTube™ számára Kép a képben
• Mike Adblock für Chrome | Chrome-Werbeblocker
• Oldalfrissítés
• Wistia videó letöltő
• Szuper sötét mód
• Emoji billentyűzet Emojik a Chrome számára
• Adblocker a Chrome-hoz - NoAds
• Adblock for You
• Adblock for Chrome
• Mozgékony rögzítés
• KProxy

A vizsgálatok ezt a támadást kompromittált fejlesztői fiókokhoz vezették vissza. Néhány fejlesztő végül tudtán kívül átadta a kiterjesztéseik feletti ellenőrzést a támadóknak, akik ezután rosszindulatú frissítéseket terjesztettek a böngésző hivatalos kiterjesztésboltjain keresztül. Úgy tűnik, hogy a támadás infrastruktúrája kapcsolódik a korábban ismert adathalász műveletekhez. A fenyegető szereplők ezt olyan engedélyek kihasználásával érték el, mint a "host_permissions", a "scripting" és a "declarativeNetRequest".

A kampány másik aggasztó aspektusa, hogy hasonlít a korábbi ellátási lánc támadásokra, ahol a támadók megbízható szoftvereket használnak fel rosszindulatú szoftverek terjesztésére. A böngészőbővítmény-frissítési mechanizmusok használata lehetővé teszi a támadók számára a hagyományos biztonsági intézkedések megkerülését.

Az azonosított bővítményeket egyelőre eltávolították a hivatalos platformokról. Ettől függetlenül a felhasználóknak azt tanácsolják, hogy ne hagyatkozzanak kizárólag a bővítményekről szóló pozitív véleményekre, mielőtt új bővítményeket telepítenének.