Google Chrome-Erweiterung Entwickler werden zunehmend von Angreifern im Rahmen eines Angebots gezielt durch Phishing für sensible Informationen im Browser des Nutzers Verkehr kapern.
Chrome-Erweiterung auf Attackers Trefferliste
Vor kurzem wurde berichtet, dass eine Google Chrome-Erweiterung mit dem Namen Copyfish von seinen Entwicklern kompromittiert wurde, nachdem Angreifer konnten eines ihrer Teammitglieder dazu verleiten, auf eine Phishing-E-Mail antworten, die Angreifer seine Zugangsdaten einzugeben. Das war kein Zufall,. Es wurde vor kurzem berichtet, dass von Angreifern mindestens weitere sieben Chrome-Erweiterungen manipuliert wurden. Ein unheimliches Gefühl von kriecht auf Chrome-Nutzer auf, ob Google und Entwickler Erweiterungen können Benutzer-Cyber garantieren und ihre Daten schützen.
Bereits im Juli, Entwickler-Anmeldeinformationen zu A9t9 Software gehören, wurden stark beeinträchtigt, wobei die sehr beliebte Erkennungs Erweiterung freie optischer Charakters auch als „Copyfish“ bekannt von Angreifern entführt wurde und effektiv zu senden Spam in einer organisierten Phishing-Kampagne verwendet. Die Forscher warnen, dass Angreifer ihr Spiel upped seit, eine große Anzahl von Chrome-Erweiterungen zu nutzen sucht Verkehr kapern und sich in Malvertising. Sobald die Angreifer erhalten die Anmeldeinformationen des Entwicklers, höchstwahrscheinlich durch gemailt Phishing-Kampagnen, das wäre, bösartige Versionen der legitimen Erweiterungen könnten veröffentlicht.
Neu Compromised Erweiterungen und die Bedrohung, die sie zu Ihnen Pose
Forscher an der Proofpoint einen Bericht veröffentlicht am Montag, entlocken die vollständige Liste der kompromittiert Erweiterungen einschließlich Social Fixer (20.1.1), Web Farbe (1.2.1), Chrometana (1.1.3), Infinity New Tab (3.12.3), Entwickler (0.4.9). Alle aufgelisteten Erweiterungen sind vermutlich von derselben Person unter Verwendung der gleichen Vorgehensweise modifiziert wurden. Der Bericht macht auch deutlich von Forschern Neigung zu glauben, dass die Chrome-Erweiterungen TouchVPN und Betternet VPN auch in diesem Jahr über die gleiche Methode früher im Juni kompromittiert wurden.
Das bösartige Verhalten durch die neu kompromittiert Erweiterungen zeigte reicht von Substitution von Anzeigen auf dem Browser des Benutzers; Hijacking Online-Verkehr von authentischen und legitimen Werbenetzwerke; und die Opfer werden unter falschem Vorwand ausgetrickst ihr Gerät zu reparieren, indem Sie auf gefälschte JavaScript Warnungen klicken. Daher führt dies zu den Benutzern aufgefordert werden, ihr Gerät zu reparieren, die sie zu einem Affiliate-Programm leitet, von dem der Angreifer im Wesentlichen profitiert von.
Der Bericht zeigt auch, dass zusätzlich zu dem Verkehr Hijacking und Fahr Opfer zu fragwürdigen Affiliate-Programmen, Angreifer haben auch in der Lage zu sammeln und erhalten Cloudflare Credential gefunden worden,, sie mit neuen Mitteln bereitstellt, mit denen sie konnten Gerät gerissen mögliche künftige Angriffe auf Anwender. Obwohl einige Websites, die von den Angreifern gezielt wurden, Forscher haben auch darauf hingewiesen, dass die Angreifer meist mit sorgfältig bezeichneten Austausche auf Webseiten für Erwachsene konzentriert.
Analysiert man sorgfältig die Seiten Affiliate-Landung von den Angreifern verwendet - Browser-Update[.]info und SearchTab[.] es wird gezeigt, dass es ein erheblicher Verkehr durch sie fließt,. Was noch auffälliger ist, dass sein SearchTab[.]gewinnen allein erhielt rund 920,000 Besuche in einem Monat, obwohl es wie groß der Anteil des Verkehrs von der entführten Erweiterung generiert unklar bleibt.
Chris Pederick, die einer der Entwickler ist durch die Erweiterung Entführungen und der Entwickler der Web-Entwickler Chrome-Erweiterung betroffen waren Forscher Interessen angezogen und aufgefordert, eine schnelle Antwort von der Cyber-Community, nachdem er seine Verlängerung getwittert hatte kompromittiert.
Die Forscher waren in der Lage, ihre Hände auf der angegriffene Version von Pederick der Verlängerung zu bekommen und den injizierten bösartigen Code zu isolieren. Eintauchen in das, der Code offenbart sich erlaubt es Angreifern, eine Remote-Datei mit dem Namen „ga.js“ über HTTPS von einem Server mit einer Domäne abzurufen, die durch eine automatische Domain-Generator-Algorithmus erzeugt wird,. Das bedeutet, dass der erste Schritt des Codes wird die Angreifer erlauben bedingt mit einem Teil dieser Skripten zusätzliche Skripte aufrufen verwendet Cloudflare Anmeldeinformationen zu ernten, somit unter Umgehung Cloudflare Sicherheit und ermöglicht es Angreifern Anzeigen auf Websites ersetzen.
Phishing für Google Chrome-Erweiterungen können keine Priorität vieler Entwickler sein, also, warum das Thema genommen hat jeder fassungslos und unerwartet. Jedoch, mit einem aufschlussreichen Bericht über die Phishing-Ausgabe jetzt verfügbar, es scheint, dass Entwickler keine andere Wahl haben, aber auf nicht fallen für Phishing-Attacken speziell mehr Zeit zu widmen.