56 silników antywirusowych nie zdołało rozpoznać złośliwego rozszerzenia Chrome

Google Chrome może sobie być najbezpieczniejszą przeglądarkąna świecie, wciąż jednak w jego zabezpieczeniach pozostaje jedensłaby punkt, który wystarczy wykorzystać, by przejąć nad Chromekontrolę. Chodzi oczywiście o rozszerzenia – takie jak niedawnowyexploitowany WebDeveloper, takie, jak niedawno użyty przeciwko klientom jednegoz brazylijskich banków Interface Online.

Nieraz już Google zostało przyłapane na hostowaniu złośliwychrozszerzeń. Wprowadzenie złośliwego kodu do Chrome Web Storeznacznie ułatwia przeprowadzenie ataku, użytkownicy bowiemgeneralnie ufają wszystkiemu, co od Google pochodzi. Nic więdzdziwnego, że w zeszłym roku kilka tysięcy osób dało sięnakłonić do zainstalowania rozszerzenia iCalc,elementu agresywnej kampanii reklamowej, które późniejprzekierowywało cały ruch użytkownika poprzez kontrolowane przeznapastnika serwery. Skąd jednak ma być wiadomo, co jest złośliwymkodem?

Problem tkwi chyba nie tyle w rozszerzeniach, co wzabezpieczających Chrome Web Store silnikach antywirusowych.Wspomniane rozszerzenie Interface Online zostało w ciągu ostatnich17 dni dwukrotnie wgrane do sklepu Google’a. Jako część kampaniiphishingowej wymierzonej w użytkowników brazylijskich banków,służyło do gromadzenia loginów i haseł wpisywanych w formularzelogowania, a następnie wgrywania ich na serwery kontrolowane przeznapastników.

Niby nic w tym więc zaskakującego, poza jedną rzeczą: odpierwszego wykrycia 20 lipca, tylko jeden silnik antywirusowy(AhnLab-V3) zdołał rozpoznać naturę szkodnika, klasyfikując gojako JS/Banker. 56 pozostałych silników antywirusowych dałozielone światło: komunikat „clean” w Virus Total. Googlezareagowało dopiero w ostatni wtorek, po tym jak Renato Marinho,główny badacz firmy Morphus Labs i wolontariusz SANS Institute,zgłosił zagrożenie – jednak ostatecznie dopiero wczorajwieczorem potwierdzono, że Interface Online już w sklepie Google’anie ma.

Marinho wyjaśnia, że przeciętnemu użytkownikowi trudno byłouniknąć zagrożenia. Napastnicy namierzali ofiary poprzez siecispołecznościowe, ustalali ich dane, a następnie dzwonili,przedstawiając się jako pracownicy bankowi. Ofiarom mówiono, żemuszą zainstalować nowy moduł bezpieczeństwa w przeglądarce, wprzeciwnym razie stracą możliwość logowania się do konta.Obecność „nowego modułu bezpieczeństwa” w sklepie Google’atylko czyniła to wszystko bardziej wiarygodnym, podobnie jak icharakterystyczny dla call-center szum rozmów w tle.

Brazylijski badacz zwraca uwagę, że Google powinno przemyślećswoją politykę uprawnień dla rozszerzeń, tak by ograniczyćszkody, jakie mogłoby poczynić ich uzłośliwienie. Czyrozszerzenia powinny mieć dostęp do haseł i innych wrażliwychdanych? Czy powinny móc obejść systemowe ustawienia proxy? A towłaśnie robiło Interface Online, by ukryć przed badaczami faktzbierania haseł.