Niestety, cyberprzestępcy nie śpią i ciągle szukają nowych sposobów na dotarcie do naszych danych. Tym razem na celowniku znaleźli się użytkownicy Google Chrome, a konkretnie osoby instalujące rozszerzenia. Okazuje się, że w oficjalnym sklepie Chrome Web Store zagnieździło się ponad 100 złośliwych dodatków, które umiejętnie podszywają się pod popularne i zaufane narzędzia.
Fałszywe VPN-y i narzędzia AI – kampania w Chrome Web Store
Badacze bezpieczeństwa z DomainTools odkryli szeroko zakrojoną kampanię, w ramach której cyberprzestępcy opublikowali ponad 100 złośliwych rozszerzeń do przeglądarki Google Chrome. Te dodatki, choć na pierwszy rzut oka oferują obiecane funkcjonalności, takie jak usługi VPN, narzędzia oparte na sztucznej inteligencji czy ułatwienia związane z kryptowalutami, w rzeczywistości mają drugie, znacznie mroczniejsze oblicze. Ich głównym celem jest kradzież ciasteczek przeglądarki oraz potajemne wykonywanie zdalnych skryptów.
Co gorsza, te szkodliwe rozszerzenia potrafią również modyfikować ruch sieciowy użytkownika. Może to oznaczać wyświetlanie niechcianych reklam, przekierowywanie na inne strony internetowe, a nawet wykorzystywanie zainfekowanego komputera jako serwera proxy dla działań przestępców. Skala problemu jest spora, bo jak donosi DomainTools, zidentyfikowano ponad 100 fałszywych domen promujących te narzędzia, prawdopodobnie za pomocą kampanii malvertisingowych.
Na liście fałszywych stron, które udostępnili badacze, znajdziemy próby podszycia się pod tak znane marki jak Fortinet, YouTube, DeepSeek AI czy Calendly. Oto niektóre z nich:
- earthvpn[.]top
- irontunnel[.]world i iron-tunnel[.]com
- raccoon-vpn[.]world
- orchid-vpn[.]com
- soul-vpn[.]com
- forti-vpn[.]com i fortivnp[.]com
- debank-extension[.]world oraz debank[.]sbs, debank[.]click
- youtube-vision[.]com i youtube-vision[.]world
- deepseek-ai[.]link
- calendlydaily[.]world, calendlydocker[.]com, calendly-director[.]com
- whale-alerts[.]org i whale-alert[.]life
- madgicxads[.]world i madgicx-plus[.]com
- similar-net[.]com
- workfront-plus[.]com
- flight-radar[.]life
Warto zauważyć, że strony te często zawierają przyciski „Dodaj do Chrome”, które kierują bezpośrednio do złośliwych rozszerzeń w Chrome Web Store, co dodatkowo usypia czujność potencjalnych ofiar.
Jak działają te rozszerzenia i jakie niosą ryzyko?
Chociaż Google podjęło kroki w celu usunięcia wielu zidentyfikowanych przez DomainTools rozszerzeń, redakcja BleepingComputer potwierdziła, że niektóre z nich wciąż są dostępne w Chrome Web Store. To pokazuje, że problem jest dynamiczny, a cyberprzestępcy wykazują się dużą determinacją. Opóźnienia w wykrywaniu i usuwaniu tego typu zagrożeń stanowią realne niebezpieczeństwo dla użytkowników.
Każde z tych rozszerzeń, mimo pozornej różnorodności oferowanych funkcji, żąda od użytkownika przyznania ryzykownych uprawnień. Pozwalają one na kradzież ciasteczek (w tym tokenów sesji, co może prowadzić do przejęcia konta), przeprowadzanie ataków phishingowych opartych na manipulacji DOM (strukturą strony) oraz dynamiczne wstrzykiwanie skryptów.
Przykładowo, rozszerzenie podszywające się pod „fortivpn” służy nie tylko do kradzieży ciasteczek, ale także działa jako serwer proxy, modyfikuje ruch sieciowy i wykonuje dowolne skrypty JavaScript pochodzące ze zdalnego serwera. Jak czytamy w raporcie DomainTools, „Na polecenie, używa chrome.cookies.getAll({}) do pobrania wszystkich ciasteczek przeglądarki, kompresuje je za pomocą pako, koduje w Base64 i wysyła z powrotem na serwer backendowy infograph[.]top”. Dodatkowo, może ono zostać zmuszone do ustanowienia osobnego połączenia WebSocket, aby działać jako proxy sieciowe, potencjalnie kierując ruch użytkownika przez złośliwe serwery.
Zainstalowanie takiego rozszerzenia to prosta droga do poważnych problemów. Mówimy tu o ryzyku przejęcia kont w różnych serwisach, kradzieży danych osobowych czy monitorowaniu naszej aktywności w sieci. W gruncie rzeczy, dajemy atakującym backdoor do naszej przeglądarki, a potencjał wykorzystania takiej luki jest ogromny. Szczególnie niebezpieczne jest to dla firm – skradzione ciasteczka sesji mogą posłużyć do przełamania zabezpieczeń firmowych kont VPN i uzyskania dostępu do wewnętrznych sieci korporacyjnych, co może prowadzić do naprawdę druzgocących w skutkach ataków.
Jak się chronić przed złośliwymi rozszerzeniami?
Szczerze mówiąc, całkowite wyeliminowanie ryzyka jest trudne, ale możemy je znacząco zminimalizować. Przede wszystkim, instalujmy rozszerzenia tylko od renomowanych wydawców z udokumentowaną historią. Zawsze warto też przejrzeć opinie innych użytkowników – często to właśnie tam można znaleźć pierwsze sygnały ostrzegawcze. Zwracajmy uwagę na uprawnienia, jakich żąda rozszerzenie. Jeśli dodatek do notatek chce dostępu do naszej kamery i mikrofonu, powinno to zapalić czerwoną lampkę.
Podsumowując, zagrożenie ze strony złośliwych rozszerzeń do przeglądarek jest realne i nieustannie ewoluuje. Cyberprzestępcy wykorzystują naszą ufność i chęć ułatwienia sobie życia za pomocą dodatkowych narzędzi. Dlatego tak ważna jest rozwaga i krytyczne podejście do tego, co instalujemy w naszych przeglądarkach.
Z drugiej strony, macie też możliwość i możecie skorzystać z innych produktów. Tutaj możecie przeczytać o najlepszych przeglądarkach na Androida i Windowsa. Da wam to wgląd w inne, ciekawe rozwiązania, które mogą okazać się lepsze od Chrome.
Pamiętajcie, aby regularnie weryfikować zainstalowane rozszerzenia i usuwać te, których nie używacie lub które wydają się podejrzane. Wasze dane są cenne – chrońcie je.
źródło BleepingComputer
