HTCinside
Η εταιρεία Duo Security πρόσφατα εντόπισε ότι περισσότερες από 500 επεκτάσεις προγράμματος περιήγησης που έχουν ληφθεί πάνω από εκατομμύρια φορές κλέβουν τα δεδομένα των χρηστών και τα ανεβάζουν σε διακομιστές που ελέγχονται από εισβολείς για τέτοια χρήση. Διαπιστώθηκε ότι αυτές οι επεκτάσεις λειτουργούσαν από τον Ιανουάριο του 2019 περίπου, με τη ροή να αυξάνεται γρήγορα από τον Μάρτιο έως τον Ιούνιο. Ωστόσο, η εταιρεία σημειώνει την πιθανότητα να λειτουργούσαν για πολύ περισσότερο, πιθανώς από το 2017.
Η Jamila Kaya, μια ανεξάρτητη ερευνήτρια στην εταιρεία που ανήκει στη Cisco, διαπίστωσε ότι αποτελούσαν μέρος ενός μακροχρόνιου σχεδίου κακόβουλης διαφήμισης και απάτης. Η εταιρεία, στον πρώτο γύρο της, είχε εντοπίσει 71 τέτοιες επεκτάσεις που είχαν περισσότερες από 1,7 εκατομμύρια λήψεις στο Chrome Web Store. Είχαν αναφέρει αυτά τα ευρήματα στην Google όταν ανακάλυψαν περίπου 400 ακόμη τέτοιες επεκτάσεις.
Ενώ οι επεκτάσεις δεν μοιράζονταν τίποτα κοινό όσον αφορά τη λειτουργικότητά τους, μοιράζονταν τον ίδιο πηγαίο κώδικα, διαπίστωσε η Kaya. Ανακάλυψε αυτές τις επεκτάσεις με τη βοήθεια του CRXcavator , ένα εργαλείο που έχει αναπτύξει το Duo Security και έχει κυκλοφορήσει στο κοινό για δωρεάν χρήση. Αυτό το εργαλείο μετρά την ασφάλεια οποιασδήποτε επέκτασης του Chrome.
Αυτές οι σκιερές επεκτάσεις εισήχθησαν ως βοηθητικά προγράμματα που παρείχαν διάφορες προσφορές. Αλλά το γεγονός ήταν ότι οι επεκτάσεις προκάλεσαν απάτη και κακόβουλη διαφήμιση μέσω των προγραμμάτων περιήγησης. Στη συνέχεια, τα πρόσθετα θα συνδεθούν σε έναν ιστότοπο που μοιάζει με την επέκταση που είχε εγκαταστήσει ο χρήστης για να ελέγξει για οδηγίες σχετικά με το εάν θα πρέπει να απεγκαταστήσουν οι ίδιοι.
Στη συνέχεια, τα πρόσθετα θα ανακατευθύνουν τα προγράμματα περιήγησης στους διακομιστές με σκληρό κώδικα για πρόσθετες οδηγίες σχετικά με το τι πρέπει να γίνει. Εδώ καταλήγουν τα προγράμματα περιήγησης να ανεβάζουν δεδομένα, λίστες ροών διαφημίσεων ή τομείς για μελλοντικές ανακατευθύνσεις. Τα προγράμματα περιήγησης απλώς ακολούθησαν και έκαναν ό,τι ζητήθηκε μέσω των ανακατευθύνσεων.
Ανάγνωση -Η Shady επέκταση Chrome κλέβει κρυπτονομίσματα αξίας 16.000 $
Παρατηρήθηκε ότι, ενώ οι ανακατευθύνσεις ήταν ως επί το πλείστον ακίνδυνες, έγιναν κακόβουλες και δόλιες μόλις ληφθεί υπόψη ο αριθμός των ανακατευθύνσεων. Ένα πρόγραμμα περιήγησης ανακατευθύνθηκε πάνω από 30 φορές σε ορισμένες περιπτώσεις. Σε αυτό προστίθεται η εσκεμμένη απόκρυψη των περισσότερων διαφημίσεων από τους χρήστες και ένας συνδυασμός αυτών των δύο όπου οι ανακατευθύνσεις θα οδηγούσαν τον χρήστη σε ιστότοπους κακόβουλου λογισμικού και phishing.
Σημειώνεται από την Duo Security ότι αυτές οι επεκτάσεις δημιουργήθηκαν με τέτοιο τρόπο ώστε η πραγματική πρόθεση σχετικά με τη διαφήμιση να παραμένει πάντα κρυφή από τους χρήστες. 'Αυτό έγινε για να συνδεθούν οι πελάτες του προγράμματος περιήγησης σε μια αρχιτεκτονική εντολών και ελέγχου, να αξιοποιηθούν τα δεδομένα ιδιωτικής περιήγησης χωρίς τη γνώση των χρηστών, να εκτεθεί ο χρήστης σε κίνδυνο εκμετάλλευσης μέσω διαφημιστικών ροών και να προσπαθήσει να αποφύγει τους μηχανισμούς ανίχνευσης απάτης του Chrome Web Store», αναφέρει η έκθεση της εταιρείας ασφαλείας.
Η Google έχει εδώ και καιρό απενεργοποιήσει τις επεκτάσεις και τις έχει επισημάνει ως κακόβουλο λογισμικό, έτσι ώστε οι χρήστες να μην μπορούν πλέον να τις εγκαταστήσουν ή να τις έχουν πρόσβαση. Στο ίδιο πνεύμα, είναι χρήσιμο εάν ένας χρήστης επιδεικνύει επαγρύπνηση κατά την εγκατάσταση και τη χορήγηση αδειών στις επεκτάσεις και αφαιρεί τυχόν ύποπτες επεκτάσεις που δεν αναγνωρίζει ή δεν έχει χρησιμοποιηθεί για μεγάλο χρονικό διάστημα.