Τελευταια Νεα

6/trending/recent
Type Here to Get Search Results !

ΠΡΟΣΟΧΗ: Αν έχετε εγκαταστήσει αυτά τα Chrome extensions, κινδυνεύουν οι κωδικοί σας!

 https://i.imgur.com/1rXmw1p.jpeg

Πάνω από 100 κακόβουλες εφαρμογές εντοπίστηκαν να κλέβουν δεδομένα από 20.000 χρήστες, στοχεύοντας μέχρι και λογαριασμούς Telegram. 

Σύνοψη

  • Η απειλή: 108 επεκτάσεις του Chrome Web Store λειτουργούσαν ως κατασκοπευτικό λογισμικό.
  • Οι πληγέντες: Περίπου 20.000 χρήστες παγκοσμίως, με σημαντική έκθεση προσωπικών δεδομένων.
  • Τι κλέβουν: OAuth2 tokens (πρόσβαση σε Google λογαριασμούς), συνεδρίες Telegram και browsing history.
  • Η πηγή: Όλες οι επεκτάσεις επικοινωνούν με έναν κοινό C2 server, υποδεικνύοντας οργανωμένη επίθεση.

Η ασφάλεια των browser extensions δέχεται ένα ακόμα ισχυρό πλήγμα. Ερευνητές της εταιρείας Socket αποκάλυψαν μια εκτεταμένη καμπάνια που περιλαμβάνει 108 κακόβουλα πρόσθετα στο επίσημο Chrome Web Store της Google. Οι επεκτάσεις αυτές, αν και εμφανίζονταν ως αθώα παιχνίδια, εργαλεία μετάφρασης ή βοηθήματα για το YouTube και το TikTok, λειτουργούσαν ως πύλες εισόδου για την υποκλοπή ευαίσθητων πληροφοριών.

Η καμπάνια χαρακτηρίζεται από εξαιρετική οργάνωση. Οι επιτιθέμενοι χρησιμοποίησαν πέντε διαφορετικά προφίλ προγραμματιστών (Yana Project, GameGen, SideGames, Rodeo Games, InterAlt) για να διασπείρουν τις εφαρμογές τους, αποφεύγοντας τον εντοπισμό από τους αυτοματοποιημένους ελέγχους της Google.

Μόλις εγκατασταθούν, οι επεκτάσεις αυτές εκτελούν τρεις κύριες κακόβουλες ενέργειες:

  1. Υποκλοπή Ταυτότητας: 54 από αυτές χρησιμοποιούν το API chrome.identity.getAuthToken για να αποσπάσουν OAuth2 Bearer tokens, δίνοντας στους χάκερ πλήρη πρόσβαση στο email, το όνομα και το προφίλ του χρήστη στη Google.
  2. Backdoor Πρόσβαση: 45 επεκτάσεις περιέχουν ένα καθολικό backdoor που επιτρέπει στον επιτιθέμενο να ανοίγει οποιαδήποτε διεύθυνση URL στον browser του θύματος χωρίς τη συγκατάθεσή του.
  3. Στόχευση Telegram: Μία συγκεκριμένη κατηγορία επεκτάσεων που υποδύονται "sidebar clients" για το Telegram, εκμαιεύουν τα session tokens από το localStorage κάθε 15 δευτερόλεπτα, επιτρέποντας στους επιτιθέμενους να καταλάβουν πλήρως τον λογαριασμό του χρήστη.

Οι επιτιθέμενοι εφάρμοσαν μια τακτική διπλής συμπεριφοράς. Τα extensions παρείχαν όντως τη λειτουργία που υποσχέθηκαν (π.χ. ένα παιχνίδι slot machine ή μια μετάφραση κειμένου), γεγονός που καθησύχαζε τους χρήστες. Ταυτόχρονα, χρησιμοποιούσαν το declarativeNetRequest API για να αφαιρούν τις κεφαλίδες ασφαλείας από τα sites που επισκεπτόταν ο χρήστης, καθιστώντας δυνατή την έγχυση κώδικα JavaScript και διαφημίσεων.

Τι πρέπει να κάνετε άμεσα

Εάν χρησιμοποιείτε τον Google Chrome, η πρώτη κίνηση είναι ο έλεγχος των εγκατεστημένων επεκτάσεων. Πληκτρολογήστε chrome://extensions στη γραμμή διευθύνσεων και αναζητήστε εφαρμογές από τους προγραμματιστές που προαναφέρθηκαν. Ακόμα κι αν η Google προχωρήσει σε μαζική διαγραφή, οι επεκτάσεις ενδέχεται να παραμείνουν στον υπολογιστή σας μέχρι να τις αφαιρέσετε χειροκίνητα.

Δείτε ΕΔΩ τα Chrome Extension IDs

 

 

Εμφάνιση περισσότερων

Top Post Ad

 

Below Post Ad

https://news.google.com/publications/CAAqBwgKMKTBmwsw6MuzAw?hl=el&gl=GR&ceid=GR%3Ael