Google Chrome拡張機能の開発者は、機密情報をフィッシングしてユーザーのブラウザトラフィックを乗っ取るために、攻撃者の標的にされることが増えています。.
攻撃者のヒットリストのChrome拡張機能
最近、攻撃者がチームメンバーの1人をだましてフィッシングメールに応答させ、攻撃者に資格情報を提供した後、Copyfishという名前のGoogleChrome拡張機能が開発者によって侵害されたことが報告されました。. これは偶然ではありませんでした. 最近、少なくともさらに7つのChrome拡張機能が攻撃者によって侵害されたと報告されています. Chromeユーザーに不気味な感覚が忍び寄っています, Googleと拡張機能の開発者がユーザーのサイバーセキュリティを保証し、ユーザーの情報を保護できるかどうか.
7月に戻る, A9t9ソフトウェアに属する開発者の資格情報が著しく侵害されました, これにより、「Copyfish」としても知られる非常に人気のある無料の光学式文字認識拡張機能が攻撃者に乗っ取られ、組織化されたフィッシングキャンペーンでスパムを送信するために効果的に使用されました。. 研究者たちは、攻撃者がそれ以来ゲームを強化していると警告しています, 多数のChrome拡張機能を活用してトラフィックを乗っ取り、マルバタイジングに関与しようとしています. 攻撃者が開発者の資格情報を取得したら, ほとんどの場合、これは電子メールで送信されたフィッシングキャンペーンによるものです。, 正当な拡張機能の悪意のあるバージョンが公開される可能性があります.
新たに侵害された拡張機能とそれらがあなたにもたらす脅威
Proofpointの研究者 レポートをリリース 月曜日に、SocialFixerを含む侵害された拡張機能の完全なリストを引き出します (20.1.1), Webペイント (1.2.1), Chrometana (1.1.3), インフィニティの新しいタブ (3.12.3), デベロッパー (0.4.9). リストされているすべての拡張機能は、同じ手口を使用して同じ個人によって変更されたと考えられています. レポートはまた、Chrome拡張機能のTouchVPNとBetternetVPNも今年6月の初めに同じ方法で侵害されたと信じる研究者の傾向を明らかにしています。.
新たに侵害された拡張機能によって示される悪意のある動作は、ユーザーのブラウザで広告を置き換えることから始まります; 本物の合法的な広告ネットワークからのオンライントラフィックのハイジャック; そして、彼らのデバイスを修理するために偽りのふりをしてだまされている犠牲者に, 偽のJavaScriptアラートをクリックして. したがって、これにより、ユーザーはデバイスを修復するように求められ、攻撃者が本質的に利益を得るアフィリエイトプログラムにリダイレクトされます。.
レポートはまた、トラフィックをハイジャックし、被害者を疑わしいアフィリエイトプログラムに追いやることに加えて、, 攻撃者はCloudflareのクレデンシャルを収集して取得できることもわかっています, ユーザーに対する潜在的な将来の攻撃を巧妙にデバイス化できる新しい手段を提供します. 一部のWebサイトは攻撃者の標的にされましたが, 研究者はまた、攻撃者は慎重に指定された代替物を備えたアダルトWebサイトに主に焦点を合わせていると指摘しています.
攻撃者が使用するアフィリエイトランディングページを注意深く分析すると– browser-update[.]情報と検索タブ[.] それらを流れるかなりのトラフィックがあることが明らかになります. その検索タブでさらに印象的なのは[.]一人で勝つ 920,000 ハイジャックされた拡張機能によって生成されたトラフィックの割合は不明ですが、1か月での訪問.
拡張機能の乗っ取りの影響を受けている開発者の1人であり、Web DeveloperChrome拡張機能の開発者であるChrisPederickは、拡張機能が侵害されたとツイートした後、研究者の関心を引き付け、サイバーセキュリティコミュニティによる迅速な対応を促しました。.
研究者は、侵害されたバージョンのPederickの拡張機能を手に入れ、挿入された悪意のあるコードを分離することができました。. それを掘り下げる, このコードは、攻撃者が自動ドメインジェネレータアルゴリズムによって生成されたドメインを持つサーバーからHTTPS経由で「ga.js」という名前のリモートファイルを取得できるようにしたことを示しています。. これが意味するのは、コードの最初のステップで、攻撃者がCloudfareクレデンシャルの収集に使用されるスクリプトの一部を使用して追加のスクリプトを条件付きで呼び出すことができるということです。, したがって、Cloudfareのセキュリティをバイパスし、攻撃者がWebサイトの広告を代用できるようにします.
Google Chrome拡張機能のフィッシングは、多くの開発者の優先事項ではない可能性があります, したがって、なぜこの問題が誰もが予想外に驚いたのか. でも, フィッシングの問題に関する洞察に満ちたレポートが利用可能になりました, 開発者は、特にフィッシング攻撃に陥らないことに多くの時間を費やすしかないようです。.