108 злонамерни екстензии за Chrome крадат податоци од Google и Telegram, зафаќајќи 20.000 корисници

Истражувачи за сајбер-безбедност открија нова кампања во која група од 108 екстензии за Google Chrome комуницираат со иста инфраструктура за команда и контрола (C2), со цел да собираат кориснички податоци и да овозможат злоупотреба на ниво на прелистувач преку вметнување реклами и произволен JavaScript код на секоја веб-страница што ја посетува корисникот.

Според компанијата Socket, екстензиите се објавени под пет различни идентитети на издавачи – Yana Project, GameGen, SideGames, Rodeo Games и InterAlt – и заедно достигнале околу 20.000 инсталации во Chrome Web Store.

„Сите 108 екстензии ги пренасочуваат украдените акредитиви, кориснички идентитети и податоци од прелистување кон сервери контролирани од ист оператор“, изјави безбедносниот истражувач Kush Pandya во анализа.

Од нив:

• 54 додатоци крадат идентитет на Google сметки преку OAuth2
• 45 екстензии содржат универзален „backdoor“ кој отвора произволни URL-адреси веднаш по стартување на прелистувачот
• останатите извршуваат различни злонамерни активности, како што се:
• Ексфилтрација на Telegram Web сесии на секои 15 секунди
• Отстранување на безбедносни заглавија од YouTube и TikTok (како Content Security Policy, X-Frame-Options и CORS) и вметнување коцкарски overlay елементи и реклами
• Вметнување скрипти во секоја страница што ја посетува корисникот
• Пренасочување (proxy) на сите барања за превод преку серверот на напаѓачот

Во обид да создадат привид на легитимност, идентификуваните екстензии се претставуваат како Telegram sidebar клиенти, игри како слот машини и Keno, подобрувачи за YouTube и TikTok, алатки за превод на текст и разни алатки за веб-страници. Рекламираната функционалност е разновидна, со цел да привлече што е можно повеќе корисници, иако сите ја користат истата backend инфраструктура.

Меѓутоа, без знаење на корисниците, злонамерниот код кој работи во позадина собира информации за сесии, вметнува произволни скрипти и отвора URL-адреси по избор на напаѓачот.

Некои од идентификуваните екстензии се:

• Telegram Multi-account (ID: obifanppcpchlehkjipahhphbcbjekfa) – го извлекува user_auth токенот што го користи Telegram Web и го испраќа до оддалечен сервер. Исто така може да го препише localStorage со податоци за сесија доставени од напаѓачот и присилно да ја вчита апликацијата, со што ефективно ја заменува активната Telegram сесија на жртвата со сесија контролирана од напаѓачот.
• Web Client for Telegram – Teleside (ID: mdcfennpfgkngnibjbpnpaafcjnhcjno) – ги отстранува безбедносните заглавија на Telegram и вметнува скрипти за крадење на Telegram сесии.
• Formula Rush Racing Game (ID: akebbllmckjphjiojeioooidhnddnplj) – го краде идентитетот на Google сметката при првото најавување на корисникот. Ова вклучува податоци како е-пошта, полно име, URL до профилна слика и уникатен идентификатор на Google сметката.

„Пет екстензии ја користат Chrome declarativeNetRequest API за да ги отстранат безбедносните заглавија од таргетираните веб-страници пред тие да се вчитаат“, наведува Socket. „Сите 108 злонамерни екстензии ја делат истата backend инфраструктура, хостирана на 144.126.135[.]238.“

Во моментов не е познато кој стои зад овие екстензии кои ги прекршуваат правилата, но анализа на изворниот код открила коментари на руски јазик во неколку од нив.

На корисниците кои имаат инсталирано некоја од овие екстензии им се препорачува веднаш да ги отстранат и да се одјават од сите Telegram Web сесии преку мобилната апликација на Telegram.

Извори:

• The Hacker News – 108 Malicious Chrome Extensions Steal Google and Telegram Data, Affecting 20,000 Users The Hacker News