Ad Clicks : Ad Views : Ad Clicks : Ad Views : Ad Clicks : Ad Views : Ad Clicks : Ad Views : Ad Clicks : Ad Views : Ad Clicks : Ad Views : Ad Clicks : Ad Views : Ad Clicks : Ad Views : Ad Clicks : Ad Views : Ad Clicks : Ad Views :
img

Unele extensii pentru Chrome infectează (din nou) peste 100.000 utilizatori

/
/
/

Un grup de infractori a infectat peste 100.000 de computere cu extensii de browser care au furat acreditări de autentificare, au minat cryptomonede și au fost implicate în fraudarea clicurilor. Extensiile malware au fost găzduite în Web Store-ul oficial de extensii pentru Chrome al companiei Google.

Înșelătoria a fost activă cel puțin din martie, cu șapte extensii malware cunoscute până în prezent, au raportat joi cercetătorii companiei de securitate Radware. Echipa de securitate a Google s-a autosesizat și a eliminat singură cinci extensii, eliminând ulterior încă două după ce Radware le-a raportat. În total, add-on-urile rău-intenționate au infectat peste 100.000 de utilizatori, dintre care cel puțin unul se afla într-o „rețea bine protejată” a unei firme de producție globale anonime, a spus Radware.

Pe parcursul ultimelor opt luni, extensiile Chrome rău intenționate s-au dovedit a fi călcâiul lui Ahile pentru browserul cel mai utilizat și cel mai sigur de pe Internet. În august anul trecut, au fost descoperite două extensii instalate pe milioane de computere. În două incidente separate în ianuarie, cercetătorii au găsit cel puțin cinci extensii malware instalate de peste 500.000 de ori. Acum două săptămâni, Trend Micro a documentat întoarcerea lui FacexWorm, o extensie malware, care a fost văzută pentru prima oară cu șapte luni înainte.

Google reușește să detecteze și să elimine proactiv numeroase extensii malware, după cum reiese din constatarea lui Radware că cinci dintre cele șapte extensii pe care le-a descoperit nu mai erau disponibile în Web Store-ul lui Chrome. Dar faptul că există constant atacatori care au succes, garantează că apariția de noi extensii periculoase va continua.

Referindu-se la infractorii din spate ultimului pachet de extensii, cercetătorii Radware Adi Raff și Yuval Shapira au declarat:

Deoarece acest malware se răspândește, grupul va continua să încerce să identifice noi modalități de utilizare a bunurilor furate. Astfel de grupuri creează în mod continuu noi malware și mutații pentru a ocoli controalele de securitate.

Un purtător de cuvânt de la Google a spus că angajații companiei au eliminat extensiile din Chrome Web Store și din browserele utilizatorilor infectați în câteva ore de la primirea raportului.

Extensiile au fost trimise prin link-uri de pe Facebook care au dirijat utilizatorii către o pagină falsă de YouTube care a solicitat instalarea unei extensii. Odată instalate, extensiile au executat un JavaScript care au anexat computerele la un botnet. Botnetul a furat acreditările Facebook și Instagram și a colectat detalii din contul Facebook al victimei. În acest moment, botnetul a folosit informația obținută pentru a trimite link-uri către prietenii persoanei infectate. Aceste link-uri au împins mai departe aceleași extensii malware. Dacă vreunul dintre acei prieteni a urmat link-ul, întregul proces de infectare începea din nou.

De asemenea, botnetul a instalat soft de minat cryptomonede, care au minat monedele digitale monero, bytecoin și electroneum. În ultimele șase zile, atacatorii au generat aparent aproximativ 1.000 de dolari în monedă digitală, mai ales în monero. Pentru a împiedica utilizatorii să înlăture extensiile malware, atacatorii au închis automat fila extensiilor de fiecare dată când era deschisă și au trecut în blacklist diferitele instrumente de securitate furnizate de Facebook și Google.

Numele celor șapte extensii era:

  • Nigelify
  • PwnerLike
  • Alt-j
  • Fix-case
  • Divinity 2 Original Sin: Wiki Skill Popup
  • Keeprivate
  • iHabno

Postarea de pe blogul companiei Radware include ID-ul fiecăreia dintre aceste extensii.

Extensiile au ajuns în atenția cercetătorilor Radware prin algoritmi de machine learning care au analizat jurnalele de comunicații ale rețelei protejate care a fost infectată. Cercetătorii de la Radware au declarat că consideră că grupul din spatele extensiilor nu a fost detectat niciodată până acum. Având în vedere rata de succes de care se bucură extensiile malware găzduite în Chrome Web Store, nu ar fi de mirare dacă grupul va reveni.

Sursa

  • Facebook
  • Twitter
  • Google+
  • Linkedin
  • Pinterest

Leave a Comment

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

This div height required for enabling the sticky sidebar