Google Chrome-extensies ontwikkelaars worden steeds vaker het doelwit van aanvallers in een poging om de gebruiker browser verkeer te kapen door phishing voor gevoelige informatie.
Chrome-extensies op Aanvallers Hit List
Onlangs werd gemeld dat een Google Chrome-extensies door de naam van Copyfish werd aangetast door de ontwikkelaars na aanvallers in staat waren om een van hun teamleden te verleiden tot het beantwoorden van een phishing-e-mail die de aanvallers zijn geloofsbrieven. Dit was geen toeval. Er werd gemeld dat ten minste nog eens zeven Chrome extensies zijn aangetast door aanvallers onlangs. Een angstaanjagende gevoel van kruipt omhoog op Chrome-gebruikers, of Google en ontwikkelaars extensies cyberveiligheid gebruiker kan garanderen en hun informatie te beschermen.
Terug in juli, ontwikkelaarsaanmeldingsgegevens behoren tot A9t9 Software werden ernstig aangetast, waarbij de zeer populaire gratis optical character extensie herkenning ook bekend als “Copyfish” werd gekaapt door aanvallers en effectief gebruikt om spam te versturen in een georganiseerde phishing campagne. Onderzoekers waarschuwen dat aanvallers hun spel sinds upped, op zoek naar een groot aantal Chrome-extensies gebruiken om het verkeer te kapen en zich in malvertising. Zodra de aanvallers het verkrijgen van de geloofsbrieven van de ontwikkelaar, zeer waarschijnlijk dat zou worden door middel van elektronische post verstuurd phishing campagnes, kwaadaardige versies van de legitieme extensies kunnen worden gepubliceerd.
Onlangs Gecompromitteerde Extensions en de dreiging die zij vormen voor u
Onderzoekers van Proofpoint een rapport uitgebracht op maandag het uitlokken van de volledige lijst van gecompromitteerde extensies waaronder Social Fixer (20.1.1), web Paint (1.2.1), Chrometana (1.1.3), Infinity New Tab (3.12.3), Ontwikkelaar (0.4.9). Alle vermelde extensies worden verondersteld te zijn gewijzigd door dezelfde persoon met dezelfde modus operandi. Het rapport maakt ook duidelijk van de helling onderzoekers om te geloven dat de Chrome-extensies TouchVPN en Betternet VPN ook werden gecompromitteerd via dezelfde methode die eerder in juni van dit jaar.
De schadelijk gedrag vertoond door de onlangs gecompromitteerd extensies strekt zich uit vanaf het vervangen van advertenties op de browser van de gebruiker; kapen online verkeer van authentieke en legitieme advertentienetwerken; en slachtoffers bedrogen zich anders voordoen hun toestel herstellen, door te klikken op valse JavaScript waarschuwingen. Vandaar dat dit leidt tot de gebruiker wordt gevraagd om hun apparaat die hen doorverwijst naar een affiliate programma te herstellen van waaruit de aanvallers in wezen winst uit.
Het rapport stelt ook dat in aanvulling op het kapen van het verkeer en het besturen van de slachtoffers om twijfelachtige affiliate programma's, aanvallers zijn ook in staat om het verzamelen van gevonden en het verkrijgen van Cloudflare credential, hen te voorzien van nieuwe middelen waarmee ze konden apparaat sluwe potentiële toekomstige aanvallen op gebruikers. Hoewel sommige websites werden het doelwit van de aanvallers, onderzoekers hebben ook op gewezen dat de aanvallers vooral gericht op websites voor volwassenen met zorgvuldig aangewezen vervangingen.
Als men zorgvuldig analyseert de affiliate landingspagina's die worden gebruikt door de aanvallers - browser update[.]info en searchtab[.] het zal worden onthuld dat er een aanzienlijke verkeersstroom door hen. Wat nog opvallender is dat searchtab[.]win alleen kregen rond 920,000 bezoeken in één maand, hoewel het onduidelijk is om het aandeel van verkeer dat wordt gegenereerd door de gekaapte extensie blijft.
Chris Pederick die is een van de ontwikkelaars wordt beïnvloed door de uitbreiding kapingen en de ontwikkelaar van de Web Developer Chrome-extensie had de belangen van onderzoekers aangetrokken en een snelle reactie van de cyberveiligheid gemeenschap gevraagd nadat hij tweeted zijn verlenging zou zijn gecompromitteerd.
De onderzoekers waren in staat om hun handen te krijgen op de besmette versie van uitbreiding Pederick en isoleren van de geïnjecteerde kwaadaardige code. Verdiepen erin, de code openbaart zich tot toegestane aanvallers moeten een extern bestand met de naam “ga.js” op te halen via HTTPS van een server met een domein dat wordt gegenereerd door een automatische domein generator algoritme. Wat dit betekent is dat de eerste stap van de code kan de aanvallers om extra scripts voorwaardelijk bellen met een deel van deze scripts gebruikt om CloudFlare geloofsbrieven te oogsten, vandaar het omzeilen van CloudFlare veiligheid en het toestaan van aanvallers om advertenties te vervangen op websites.
Phishing voor Google Chrome extensies kunnen geen prioriteit van vele ontwikkelaars, vandaar de reden waarom de kwestie heeft genomen iedereen verbijsterd en onverwacht. Echter, met een inzichtelijke verslag over de phishing-kwestie nu beschikbaar, lijkt het erop dat de ontwikkelaars hebben geen andere keuze dan om meer van hun tijd te besteden in het bijzonder op niet vallen voor phishing-aanvallen.