Uklonjeno 500 malicioznih ekstenzija za Chrome

Google je uklonio 500 malicioznih ekstenzija za Chrome veb čitač. Uklonjene ekstenzije su ubacivale maliciozne reklame u posjećene veb stranice, te krale privatne informacije korisnika. Maliciozne ekstenzije su prvobitno otkrivene u zajedničkoj istrazi koju je pokrenula Cisco-ova kompanije Duo Security u saradnji da istraživačem pod imenom Jamila Kaya. Rezultate istrage možete pronaći ovdje. Tokom istrage identifikovano je 70 malicioznih ekstenzija koje su instalirane od strane 1.7 miliona korisnika. Nakon istrage Google je otkrio još 430 ekstenzija koje su koristile iste šablone ponašanja. Ova kampanja traje od januara 2019. godine, s tim da je grupa koja stoji iza kampanje aktivna od 2017. godine.

Istraživači su koristeći Duo Security-ev alat pod nazivom CRXcavator uspjeli da identifikuju ekstenzije koje imaju sumnjive konekcije. Ispostavilo se da ove konekcije vode na C2 server, koji se koristi za eksfiltraciju privatnih informacije bez znanja korisnika.

Gotovo sve maliciozne ekstenzije su koristile identičan izvorni kod, s tim da su koristile različita imena za funkcije i varijable kako bi zaobišle automatske mehanizme filtriranja koje koristi Google Web Store. Pored istog izvornog koda ove ekstenzije su zahtijevale od strane veb čitača više privilegija nego što ima je potrebno da obavljaju svoj legitiman posao. Privilegije su dozvolile pristup clipboard-u, svim cookie-ima u veb čitaču, te pristup istim domenima na kojima su se nalazili C2 serveri.

Izvor:  thehackernews.com