Τρεις κακόβουλες επεκτάσεις του Chrome που παρουσιάζονται ως μολυσμένα VPN (Εικονικά Ιδιωτικά Δίκτυα) λήφθηκαν 1,5 εκατομμύριο φορές, ενεργώντας ως αεροπειρατές του προγράμματος περιήγησης, εργαλεία εισβολής επιστροφής χρημάτων και κλοπές δεδομένων.
Σύμφωνα με το ReasonLabs, το οποίο ανακάλυψε τις κακόβουλες επεκτάσεις, διαδίδονται μέσω ενός προγράμματος εγκατάστασης κρυμμένο σε πειρατικά αντίγραφα δημοφιλών βιντεοπαιχνιδιών όπως το Grand Theft Auto, το Assassins Creed και το The Sims 4, τα οποία διανέμονται από τοποθεσίες torrent.
Η ReasonLabs ενημέρωσε την Google για τα ευρήματά της και ο τεχνολογικός γίγαντας αφαίρεσε τις προσβλητικές επεκτάσεις από το Chrome Web Store, αλλά μόνο αφού αυτές είχαν συγκεντρώσει συνολικά 1,5 εκατομμύριο λήψεις.
Συγκεκριμένα, οι κακόβουλες επεκτάσεις ήταν netPlus (1 εκατομμύριο εγκαταστάσεις), netSave και netWin (500.000 εγκαταστάσεις).
Οι περισσότερες μολύνσεις είναι στη Ρωσία και σε χώρες όπως η Ουκρανία, το Καζακστάν και η Λευκορωσία, επομένως η καμπάνια φαίνεται να στοχεύει ρωσόφωνους χρήστες.
Μολύνσεις netPlus με την πάροδο του χρόνου
(ReasonLabs)
Φύτευση ψεύτικων επεκτάσεων VPN
ReasonLabs
ανακαλύφθηκε
πάνω από χίλια διαφορετικά αρχεία torrent που παραδίδουν το κακόβουλο αρχείο εγκατάστασης, το οποίο είναι μια εφαρμογή ηλεκτρονίων με μέγεθος μεταξύ 60 MB και 100 MB.
Η εγκατάσταση των επεκτάσεων VPN είναι αυτόματη και αναγκαστική, πραγματοποιείται σε επίπεδο μητρώου και δεν
εμπ
λέκει τον χρήστη ούτε απαιτεί καμία ενέργεια από την πλευρά του θύματος.
Τελικά, το πρόγραμμα εγκατάστασης ελέγχει για προϊόντα προστασίας από ιούς στο μολυσμένο μηχάνημα και, στη συνέχεια, ρίχνει το netSave στο Google Chrome και το netPlus στον Microsoft
Edge
, καλύπτοντας οποιαδήποτε περίπτωση χρήσης.
Έλεγχος AV
(ReasonLabs)
Οι κακόβουλες επεκτάσεις χρησιμοποιούν μια ρεαλιστική διεπαφή χρήστη VPN με κάποια λειτουργικότητα και μια επιλογή συνδρομής επί πληρωμή για να δημιουργήσουν μια αίσθηση αυθεντικότητας.
Η ανάλυση κώδικα δείχνει ότι η επέκταση έχει επίσης πρόσβαση σε “tabs”, “storage”, “proxy”, “webRequest”, “webRequestBlocking”, “declarativeNetRequest”, “scripting”, “alarms”, “cookies”, “activeTab,” “διαχείριση” και “εκτός οθόνης”.
Το ReasonLabs επισημαίνει ότι η κατάχρηση της άδειας “εκτός οθόνης” επιτρέπει στο κακόβουλο λογισμικό να εκτελεί σενάρια μέσω του API εκτός οθόνης και να αλληλεπιδρά κρυφά με το τρέχον DOM (Μοντέλο αντικειμένου εγγράφου) της ιστοσελίδας.
Αυτή η εκτεταμένη πρόσβαση στο DOM επιτρέπει στις επεκτάσεις να κλέβουν ευαίσθητα δεδομένα χρήστη, να εκτελούν παραβιάσεις περιήγησης, να χειρίζονται αιτήματα ιστού και ακόμη και να απενεργοποιούν άλλες επεκτάσεις που είναι εγκατεστημένες στο πρόγραμμα περιήγησης.
Μια άλλη λειτουργία της επέκτασης είναι να απενεργοποιεί άλλες επεκτάσεις επιστροφής μετρητών και κουπονιών για να εξαλείψει τον ανταγωνισμό στη μολυσμένη
συσκευή
και να ανακατευθύνει τα κέρδη στους εισβολείς.
Το ReasonLabs αναφέρει ότι το κακόβουλο λογισμικό στοχεύει πάνω από 100 επεκτάσεις επιστροφής χρημάτων, συμπεριλαμβανομένων των Avast SafePrice, AVG SafePrice, Honey: Automatic Coupons & Rewards, LetyShops, Megabonus, AliRadar
Shopping
Assistant, Yandex.Market Adviser, ChinaHelper και Backlit.
Η επικοινωνία των επεκτάσεων με τους διακομιστές C2 (εντολή και έλεγχος) περιλαμβάνει ανταλλαγή δεδομένων σχετικά με οδηγίες και εντολές, αναγνώριση του θύματος, εξαγωγή ευαίσθητων δεδομένων και πολλά άλλα.
Αυτή η αναφορά υπογραμμίζει τα τεράστια ζητήματα ασφάλειας σχετικά με τις επεκτάσεις του προγράμματος περιήγησης ιστού, πολλές από τις οποίες είναι πολύ συγκεχυμένες ώστε να είναι πιο δύσκολο να προσδιοριστεί ποια συμπεριφορά παρουσιάζουν.
Για αυτόν τον λόγο, θα πρέπει να ελέγχετε τακτικά τις επεκτάσεις που είναι εγκατεστημένες στο πρόγραμμα περιήγησής σας και να ελέγχετε για νέες κριτικές στο Chrome Web Store για να δείτε εάν άλλοι αναφέρουν κακόβουλη συμπεριφορά.
VIA:
bleepingcomputer.com
