Opasna Chrome ekstenzija i dalje u Web prodavnici

Ekstenzija koju su napadači uspešno distribuirali u tajnosti skoro godinu dana je nedavno otkrivena, ali još uvek nije povučena iz Chrome Web prodavnice!

Opasna Chrome ekstenzija i dalje u Web prodavnici

Maliciozna ekstenzija Reader Flash krade informacije sa kreditnih kartica i informacije vezane za plaćanje iz web formi koje žrtve popunjavaju. Koristi JavaScript za detekciju browsera korisnika, a zatim ga preusmerava ka linku u Chrome Web prodavnici.

Maliciozna ekstenzija

Slika 1. Maliciozna ekstenzija u Chrome Web prodavnici. Izvor slike: Eleven Paths.

Treba napomenuti da ekstenzija nije javno dostupna (ne može se naći uobičajenom pretragom), već napadači šalju link za download ciljanim žrtvama, odnosno putem malicioznog JS koda preusmeravaju žrtvu na link za download.

Ekstenzija postoji od februara 2018, a korisnici su je instalirali oko 400 puta.

Kako se širi?

Umesto da “hvataju” žrtve preko pretrage ili spam email kampanja, koje bi im u kratkom roku donele više uspeha, ali i zbog kojih bi ovaj napad bilo mnogo lakše detektovati, napadači su se opredelili za drugačiji pristup. Inficiraju sajtove pomoću malicioznog JS koda koji detektuje da li žrtve koristi Chrome browser. Ako je odgovor pozitivan, preusmeravaju ih na drugi sajt na kome ih navode da je potrebno instalirati Flash, a zatim ih preusmeravaju ka malicioznoj ekstenziji.

Hash ekstenzije: 4d2efd3eebcae2b26ad3009915c6ef0cf69a0ebf

Kada se instalira, ekstenzija ubacuje jednostavnu funkciju u web sajtove koje je posetio korisnik. Preciznije, eksploatiše API funkcionalnost webRequest.onBeforeRequest, dozvoljavajući da se registruje “udica” koja se poziva neposredno pre nego što korisnik (moguće) pošalje novi HTTP zahtev sa web sajta (npr, pre nego što klikne na link ili popuni formu).

Preporuka korisnicima Chrome browsera je da budu oprezni sa novim ekstenzijama i da instaliraju samo one od proverenih autora.

Izvor: Eleven Paths