r   e   k   l   a   m   a
r   e   k   l   a   m   a

56 silników antywirusowych nie zdołało rozpoznać złośliwego rozszerzenia Chrome

Strona główna AktualnościBEZPIECZEŃSTWO

Google Chrome może sobie być najbezpieczniejszą przeglądarką na świecie, wciąż jednak w jego zabezpieczeniach pozostaje jeden słaby punkt, który wystarczy wykorzystać, by przejąć nad Chrome kontrolę. Chodzi oczywiście o rozszerzenia – takie jak niedawno wyexploitowany Web Developer, takie, jak niedawno użyty przeciwko klientom jednego z brazylijskich banków Interface Online.

Nieraz już Google zostało przyłapane na hostowaniu złośliwych rozszerzeń. Wprowadzenie złośliwego kodu do Chrome Web Store znacznie ułatwia przeprowadzenie ataku, użytkownicy bowiem generalnie ufają wszystkiemu, co od Google pochodzi. Nic więdz dziwnego, że w zeszłym roku kilka tysięcy osób dało się nakłonić do zainstalowania rozszerzenia iCalc, elementu agresywnej kampanii reklamowej, które później przekierowywało cały ruch użytkownika poprzez kontrolowane przez napastnika serwery. Skąd jednak ma być wiadomo, co jest złośliwym kodem?

Problem tkwi chyba nie tyle w rozszerzeniach, co w zabezpieczających Chrome Web Store silnikach antywirusowych. Wspomniane rozszerzenie Interface Online zostało w ciągu ostatnich 17 dni dwukrotnie wgrane do sklepu Google’a. Jako część kampanii phishingowej wymierzonej w użytkowników brazylijskich banków, służyło do gromadzenia loginów i haseł wpisywanych w formularze logowania, a następnie wgrywania ich na serwery kontrolowane przez napastników.

r   e   k   l   a   m   a

Niby nic w tym więc zaskakującego, poza jedną rzeczą: od pierwszego wykrycia 20 lipca, tylko jeden silnik antywirusowy (AhnLab-V3) zdołał rozpoznać naturę szkodnika, klasyfikując go jako JS/Banker. 56 pozostałych silników antywirusowych dało zielone światło: komunikat „clean” w Virus Total. Google zareagowało dopiero w ostatni wtorek, po tym jak Renato Marinho, główny badacz firmy Morphus Labs i wolontariusz SANS Institute, zgłosił zagrożenie – jednak ostatecznie dopiero wczoraj wieczorem potwierdzono, że Interface Online już w sklepie Google’a nie ma.

Marinho wyjaśnia, że przeciętnemu użytkownikowi trudno było uniknąć zagrożenia. Napastnicy namierzali ofiary poprzez sieci społecznościowe, ustalali ich dane, a następnie dzwonili, przedstawiając się jako pracownicy bankowi. Ofiarom mówiono, że muszą zainstalować nowy moduł bezpieczeństwa w przeglądarce, w przeciwnym razie stracą możliwość logowania się do konta. Obecność „nowego modułu bezpieczeństwa” w sklepie Google’a tylko czyniła to wszystko bardziej wiarygodnym, podobnie jak i charakterystyczny dla call-center szum rozmów w tle.

Brazylijski badacz zwraca uwagę, że Google powinno przemyśleć swoją politykę uprawnień dla rozszerzeń, tak by ograniczyć szkody, jakie mogłoby poczynić ich uzłośliwienie. Czy rozszerzenia powinny mieć dostęp do haseł i innych wrażliwych danych? Czy powinny móc obejść systemowe ustawienia proxy? A to właśnie robiło Interface Online, by ukryć przed badaczami fakt zbierania haseł.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.