Maliciozna ekstenzija za Chrome krade sve podatke korisnika

Ekstenziju „podvaljuju“ preko phishing imejla sa linkovima ka fotografijama koje su navodno poslate preko WhatsAppa.

Maliciozna ekstenzija za Chrome krade sve podatke korisnika

Ekstenzija je popularno nazvana “Catch-All” i potencijalno može da izazove velike probleme korisnicima.

Ovo nije ni prva ni poslednja maliciozna Chrome ekstenzija, ali spada u one koje mogu da naprave veliku štetu. Korisnicima se ekstenzija „podvaljuje“ preko phishing imejla sa linkovima ka fotografijama koje su navodno poslate preko WhatsAppa. Međutim, umesto fotografija, žrtva preuzima malver dropper fajl pod nazivom “whatsapp.exe”. Kada se fajl pokrene, na ekranu se prikazuje lažna ponuda za instaliranje Adobe PDF Readera. Ukoliko žrtva odabere opciju “install“, preuzeće .cab fajl koji ima dva exe fajla: md0.exe i md1.exe.

Pre nego što se maliciozna ekstenzija instalira, md0 exe fajl pokušava da onemogući Windows Firewall, zatvori sve Google Chrome procese i onemogući nekoliko bezbednosnih opcija koje mogu da spreče malicioznu ekstenziju da obavi zadatak.

Nakon ovoga, instalira se Catch-All ekstenzija i menjaju se Google Chrome launcher (“.lnk”) fajlovi kako bi se ekstenzija pokrenula pri sledećem pokretanju Google Chroma.

Na kraju, ekstenzija kreće u akciju – prikuplja sve informacije koje žrtva ostavlja na sajtovima i šalje u C&C server preko jQuery ajax konekcije.

Pretnja

Glavni zadatak nekih maliciznih ekstenzija je da ubace reklame i da spamuju korisnike. Druge služe kao sredstvo da se izvrši prevara sa lažnom tehničkom podrškom ili da se korisnicima ubaci malver ili za krađu kredencijala kod online bankarstva. Catch-All prikuplja sve podatke koje žrtva ostavlja na vebsajtovima, uključujući i login kredencijale za razne online servise.

Catch-All ekstenzija omogućava hakerima da uz minimum napora dođu do osetljivih podataka. Da bi prevarili žrtvu, nije potrebno da je namame na lažni vebsajt sa upitnim SSL sertifikatima ili da pomoću lokalnih proxyja presreću web konekcije. Baš suprotno, žrtva surfuje legitimnim sajtovima i ništa ne deluje sumnjivo, a za to vreme Catch-All prikuplja i šalje napadaču sve podatke. Najjednostavnije rečeno, ovaj metod napada može obesmisliti brojne bezbednosne mehanizme koje žrtva koristi.

Izvor: helpnetsecurity.com