Les développeurs d'extension Google Chrome sont de plus en plus ciblés par des attaquants dans une tentative de détourner le trafic du navigateur de l'utilisateur par phishing pour des informations sensibles.
Extensions Chrome sur Attaquants Hit List
Récemment, il a été signalé que l'extension Google Chrome le nom de Copyfish a été compromise par ses développeurs après les attaquants ont pu duper l'un de leurs membres de l'équipe en réponse à un e-mail phishing fournissant les attaquants ses lettres de créance. Ce ne fut pas un hasard. Il a été rapporté qu'au moins sept autres extensions Chrome ont été compromis par des attaquants récemment. Un sens étrange de se glissait sur les utilisateurs de Chrome, si Google et les développeurs extensions peuvent garantir la sécurité cybernétique de l'utilisateur et de protéger leurs informations.
En Juillet, identifiants de développeur appartenant à A9t9 Software ont été gravement compromis, dans lequel l'extension de la reconnaissance optique de caractères gratuit très populaire également connu sous le nom « Copyfish » a été pris en otage par des attaquants et efficacement utilisé pour envoyer du spam dans une campagne de phishing organisée. Les chercheurs mettant en garde que les attaquants ont fait monter leur jeu depuis, cherchant à tirer parti un grand nombre d'extensions Chrome pour détourner le trafic et se livrer à malvertising. Une fois que les attaquants obtenir les informations d'identification du développeur, le plus probable serait grâce à des campagnes de phishing envoyés par courriel, versions malveillantes des extensions légitimes pourraient être publiés.
Nouveaux extensions et la compromission des menaces qu'ils font peser sur vous
Les chercheurs de Proofpoint a publié un rapport lundi susciter la liste complète des extensions, y compris compromis social Fixateur (20.1.1), Peinture Web (1.2.1), Chrometana (1.1.3), Infinity Nouvel onglet (3.12.3), Développeur (0.4.9). Toutes les extensions répertoriées sont censées avoir été modifiées par la même personne utilisant le même mode de fonctionnement. Le rapport indique aussi clairement de l'inclinaison des chercheurs à croire que les VPN extensions Chrome TouchVPN et Betternet ont également été compromis par la même méthode au début de Juin de cette année.
Le comportement malveillant présenté par les extensions nouvellement compromis s'étend de son remplacement par des annonces sur le navigateur de l'utilisateur; le détournement du trafic en ligne des réseaux de publicité authentiques et légitimes; et aux victimes d'être trompé en faux semblant de réparer leur appareil, en cliquant sur les alertes JavaScript faux. D'où cela conduit à l'utilisateur étant invité à réparer leur appareil qui les redirige vers un programme d'affiliation à partir de laquelle les attaquants essentiellement profit de.
Le rapport indique également qu'en plus de trafic et le détournement de conduire les victimes à des programmes d'affiliation douteux, les attaquants ont également été trouvés capables de recueillir et d'obtenir des titres de compétences Cloudflare, en leur fournissant de nouveaux moyens par lesquels ils pourraient dispositif rusée futures attaques potentielles sur les utilisateurs. Bien que certains sites ont été ciblés par les attaquants, les chercheurs ont également souligné que les attaquants ont porté principalement sur les sites adultes avec des substitutions soigneusement désignés.
Si l'on analyse attentivement les pages d'atterrissage d'affiliation utilisés par les attaquants - navigateur à jour[.]infos et searchtab[.] il sera révélé qu'il ya un trafic important qui les traverse. Ce qui est encore plus frappant étant que searchtab[.]gagner seul reçu autour 920,000 visites en un mois mais il ne sait pas que la proportion du trafic généré par l'extension pris en otage.
Chris Pederick qui est l'un des développeurs étant affectés par l'extension détournements d'avions et le développeur de l'extension Chrome Web Developer avait attiré l'intérêt des chercheurs et a incité une réponse rapide par la communauté Cybersécurité après avoir tweeté son étendue avait été compromise.
Les chercheurs ont pu mettre la main sur la version compromise de l'extension Pederick et isoler le code malveillant injecté. Fouiller dans ce, le code se révèle avoir des attaquants a permis de récupérer un fichier distant par le nom de « ga.js » via HTTPS à partir d'un serveur avec un domaine qui est généré par un algorithme de génération de domaine automatique. Ce que cela signifie est que la première étape du code permettra aux attaquants d'appeler des scripts supplémentaires sous condition avec une partie de ces scripts utilisés pour récolter des informations d'identification CloudFlare, en contournant donc la sécurité CloudFlare et permettant de remplacer les attaquants annonces sur les sites Web.
Phishing pour les extensions Google Chrome ne peut pas être une priorité de nombreux développeurs, donc pourquoi la question a pris tout le monde consterné et de façon inattendue. Cependant, avec un rapport perspicace sur la question de phishing maintenant disponible, il semble que les développeurs ont pas d'autre choix que de consacrer plus de temps spécifique sur ne pas tomber pour les attaques de phishing.