gli sviluppatori di estensioni di Google Chrome sono sempre più nel mirino degli aggressori nel tentativo di dirottare il traffico del browser dell'utente dal phishing per ottenere informazioni sensibili.
Estensioni Chrome su Lista aggressori Hit
Recentemente è stato riportato che un'estensione di Google Chrome con il nome di Copyfish è stata compromessa dai suoi sviluppatori, dopo gli aggressori sono stati in grado di ingannare uno dei loro membri del team in risposta ad una e-mail di phishing che fornisce gli attaccanti sue credenziali. Questo è stato un caso. E 'stato riportato che almeno altri sette estensioni di Chrome sono stati compromessi da aggressori di recente. Un senso misterioso di è strisciante su di utenti di Chrome, se Google e gli sviluppatori di estensioni in grado di garantire la sicurezza informatica degli utenti e proteggere le loro informazioni.
Indietro nel mese di luglio, credenziali di sviluppatori appartenenti a A9t9 Software sono stati gravemente compromessi, per cui il popolare estensione riconoscimento ottico dei caratteri gratis noto anche come “Copyfish” è stato dirottato da aggressori ed efficacemente utilizzato per inviare spam in una campagna di phishing organizzata. I ricercatori stanno avvertendo che gli aggressori hanno alzato il loro gioco dal, cercando di sfruttare un gran numero di estensioni di Chrome per dirottare il traffico e impegnarsi in malvertising. Una volta che gli aggressori di ottenere le credenziali dello sviluppatore, più probabile che sarebbe attraverso campagne di phishing via email, versioni dannosi delle estensioni legittimi potrebbero essere pubblicati.
Estensioni di recente compromessi e la minaccia che rappresentano per Lei
I ricercatori Proofpoint pubblicato un rapporto il Lunedi suscitando la lista completa delle estensioni di compromessi tra cui Fixer sociale (20.1.1), Web della vernice (1.2.1), Chrometana (1.1.3), Infinity Nuova scheda (3.12.3), Sviluppatore (0.4.9). Tutte le estensioni elencate si ritiene siano stati modificati dallo stesso individuo che usa lo stesso modus operandi. Il rapporto mette anche in chiaro di inclinazione ricercatori a credere che le estensioni di Chrome TouchVPN e Betternet VPN sono state compromesse anche tramite lo stesso metodo in precedenza nel giugno di quest'anno.
Il comportamento malevolo esibito dal estensioni di recente compromessi spazia da annunci sostituendo nel browser dell'utente; dirottamento del traffico online da reti pubblicitarie autentiche e legittime; e alle vittime di essere ingannato sotto falso pretesto per riparare il proprio dispositivo, cliccando su falsi avvisi JavaScript. Quindi questo porta all'utente venga chiesto di riparare il loro dispositivo che li reindirizza a un programma di affiliazione da cui gli attaccanti essenzialmente profitto.
Il rapporto suggerisce anche che, oltre a dirottare il traffico e guidare le vittime di programmi di affiliazione discutibili, gli aggressori sono stati trovati anche in grado di raccogliere e ottenere Cloudflare credenziale, fornendo loro nuovi mezzi con cui potevano dispositivo astuzia potenziali attacchi futuri utenti. Anche se alcuni siti web sono stati presi di mira dagli aggressori, i ricercatori hanno anche sottolineato che gli aggressori lo più concentrati su siti per adulti con sostituzioni con attenzione designati.
Se si analizzano con attenzione le pagine di destinazione di affiliazione utilizzati dagli aggressori - browser aggiornamento[.]informazioni e searchtab[.] si sarà rivelato che v'è una sostanziale traffico che li attraversa. Che cosa è ancora più sorprendente è che searchtab[.]vincere da solo ricevuto circa 920,000 visite in un mese, anche se rimane poco chiaro per quanto riguarda la percentuale di traffico generato dall'estensione dirottato.
Chris Pederick, che è uno degli sviluppatori di essere colpiti dai dirottamenti di estensione e lo sviluppatore del Web Developer estensione Chrome aveva attirato gli interessi dei ricercatori e ha spinto una risposta rapida dalla comunità della sicurezza informatica dopo che lui ha scritto su Twitter la sua estensione era stata compromessa.
I ricercatori sono stati in grado di mettere le mani sulla versione compromesso della all'estensione di Pederick e isolare il codice dannoso iniettato. Scavando in esso, il codice si rivela di avere attaccanti hanno permesso di recuperare un file remoto con il nome di “ga.js” su HTTPS da un server con un dominio che viene generato da un algoritmo generatore automatico di dominio. Ciò significa che il primo passo del codice permetterà gli attaccanti di chiamare condizionalmente script aggiuntivi con una parte di questi script utilizzato per raccogliere le credenziali CloudFlare, quindi bypassando la sicurezza CloudFlare e permettendo agli aggressori di sostituire gli annunci sui siti web.
Phishing per le estensioni di Google Chrome non può essere una priorità di molti sviluppatori, quindi, perché la questione ha colto tutti atterrito e inaspettatamente. Tuttavia, con un rapporto penetranti sulla questione phishing ora disponibile, sembra che gli sviluppatori non hanno altra scelta, ma di dedicare più del loro tempo in particolare sulla non cadere per attacchi di phishing.
