56 silników antywirusowych nie zdołało rozpoznać złośliwego rozszerzenia Chrome

Strona główna56 silników antywirusowych nie zdołało rozpoznać złośliwego rozszerzenia Chrome
17.08.2017 17:07
56 silników antywirusowych nie zdołało rozpoznać złośliwego rozszerzenia Chrome

Google Chrome może sobie być najbezpieczniejszą przeglądarkąna świecie, wciąż jednak w jego zabezpieczeniach pozostaje jedensłaby punkt, który wystarczy wykorzystać, by przejąć nad Chromekontrolę. Chodzi oczywiście o rozszerzenia – takie jak niedawnowyexploitowany WebDeveloper, takie, jak niedawno użyty przeciwko klientom jednegoz brazylijskich banków Interface Online.

bELBtahx

Nieraz już Google zostało przyłapane na hostowaniu złośliwychrozszerzeń. Wprowadzenie złośliwego kodu do Chrome Web Storeznacznie ułatwia przeprowadzenie ataku, użytkownicy bowiemgeneralnie ufają wszystkiemu, co od Google pochodzi. Nic więdzdziwnego, że w zeszłym roku kilka tysięcy osób dało sięnakłonić do zainstalowania rozszerzenia iCalc,elementu agresywnej kampanii reklamowej, które późniejprzekierowywało cały ruch użytkownika poprzez kontrolowane przeznapastnika serwery. Skąd jednak ma być wiadomo, co jest złośliwymkodem?

Bez aktualnego modułu ochronnego bankowość internetowa jest niemożliwa
Bez aktualnego modułu ochronnego bankowość internetowa jest niemożliwa

Problem tkwi chyba nie tyle w rozszerzeniach, co wzabezpieczających Chrome Web Store silnikach antywirusowych.Wspomniane rozszerzenie Interface Online zostało w ciągu ostatnich17 dni dwukrotnie wgrane do sklepu Google’a. Jako część kampaniiphishingowej wymierzonej w użytkowników brazylijskich banków,służyło do gromadzenia loginów i haseł wpisywanych w formularzelogowania, a następnie wgrywania ich na serwery kontrolowane przeznapastników.

Zainstaluj więc moduł ochronny z Chrome Web Store
Zainstaluj więc moduł ochronny z Chrome Web Store

Niby nic w tym więc zaskakującego, poza jedną rzeczą: odpierwszego wykrycia 20 lipca, tylko jeden silnik antywirusowy(AhnLab-V3) zdołał rozpoznać naturę szkodnika, klasyfikując gojako JS/Banker. 56 pozostałych silników antywirusowych dałozielone światło: komunikat „clean” w Virus Total. Googlezareagowało dopiero w ostatni wtorek, po tym jak Renato Marinho,główny badacz firmy Morphus Labs i wolontariusz SANS Institute,zgłosił zagrożenie – jednak ostatecznie dopiero wczorajwieczorem potwierdzono, że Interface Online już w sklepie Google’anie ma.

Jeden antywirusowy silnik dał radę, reszta dała się oszukać
Jeden antywirusowy silnik dał radę, reszta dała się oszukać

Marinho wyjaśnia, że przeciętnemu użytkownikowi trudno byłouniknąć zagrożenia. Napastnicy namierzali ofiary poprzez siecispołecznościowe, ustalali ich dane, a następnie dzwonili,przedstawiając się jako pracownicy bankowi. Ofiarom mówiono, żemuszą zainstalować nowy moduł bezpieczeństwa w przeglądarce, wprzeciwnym razie stracą możliwość logowania się do konta.Obecność „nowego modułu bezpieczeństwa” w sklepie Google’atylko czyniła to wszystko bardziej wiarygodnym, podobnie jak icharakterystyczny dla call-center szum rozmów w tle.

Dodać czy nie dodać? System uprawnień Chrome pozwala na wiele
Dodać czy nie dodać? System uprawnień Chrome pozwala na wiele

Brazylijski badacz zwraca uwagę, że Google powinno przemyślećswoją politykę uprawnień dla rozszerzeń, tak by ograniczyćszkody, jakie mogłoby poczynić ich uzłośliwienie. Czyrozszerzenia powinny mieć dostęp do haseł i innych wrażliwychdanych? Czy powinny móc obejść systemowe ustawienia proxy? A towłaśnie robiło Interface Online, by ukryć przed badaczami faktzbierania haseł.

Programy

Aktualizacje
Aktualizacje
Nowości
Udostępnij:
bELBtaiv