Przejdź na

Rozszerzenie Chrome'a wykradało hasła i klucze, winne słabe zabezpieczenia Google'a

Wśród rozszerzeń dla przeglądarki Chrome pojawiło się jedno złośliwe i bardzo groźne. Cyberprzestępcy umieścili złośliwy kod w prawdziwym rozszerzeniu do obsługi dysku w chmurze MEGA.nz i tym sposobem wykradali dane logowania oraz prywatne klucze do portfeli kryptowalut.

Obraz
Anna Rymsza

Szkodliwy kod został znaleziony w źródłach rozszerzenia MEGA.nz w wersji 3.39.4, wydanej 4 września. Z analizy wynika, że aktywował się na takich stronach, jak Amazon, GitHub, Google, live.com (Microsoft), a także po odwiedzeniu stron portfeli kryptowalut MyMonero, MyEtherWallet i kantoru IDEX. Rozszerzenie wydobywało ze stron loginy, hasła, dane sesji potrzebne do podszywania się pod użytkowników, a na stronach zarządzających kryptowalutami także prywatne klucze, potrzebne do uzyskania dostępu do portfeli. Informacje były wysyłane do serwera megaopac.host, zlokalizowanego na Ukrainie.

Zarządzający Chrome Web Store już interweniowali i usunęli rozszerzenie ze sklepu, a także wyłączyli je użytkownikom, którzy z niego korzystają i zdążyli zainstalować szkodliwą wersję. Warto jednak upewnić się na własną rękę, że rozszerzenie zostało wyłączone, jeśli z niego korzystacie. Polecamy też zmianę haseł na wspomnianych stronach, a kryptowaluty przelać do nowego portfela z wygenerowanymi nowymi kluczami.

Kryzys został już zażegnany. Rzecznik Mega.nz poinformował, że rozszerzenie zostało ponownie zaktualizowane i wersja 3.39.5 jest znów bezpieczna. Firma stara się teraz dowiedzieć, jak doszło do ataku na jej konto w Chrome Web Store. Specjaliści nie znaleźli żadnych podejrzanych mechanizmów w kodzie rozszerzenia Mega.nz dla Firefoxa.

Taka sytuacja nie powinna mieć miejsca w rozszerzeniu obecnym na centralnie zarządzanej platformie dystrybucji, ale jednak zaistniała, co każe nam podchodzić do Chrome Web Store z rezerwą. Nie jest to też pierwszy taki przypadek, ale większość udokumentowanych wcześniej ataków bazowała na phishingu – rozszerzenia przekierowywały na spreparowane wersje stron i w ten sposób wydobywały wrażliwe dane.

Rzecznik MEGA.nz wyraził niezadowolenie z zabezpieczeń platformy, przez które atakującym udało się przejąć rozszerzenie. Od dłuższego czasu Chrome Web Store nie pozwala na ręczne podpisywanie rozszerzeń kluczem programisty przed umieszczeniem w sklepie, a jedynie podpisuje je automatycznie przy publikacji. To znacznie ułatwia podobne ataki i podszywanie się pod prawdziwe rozszerzenia. MEGA.nz zapewnia, że aplikacje mobilne i inne produkty, które zostały podpisane ich własnym kluczem przed publikacją, są odporne na podobne ataki.

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
ChatGPT ma dużą awarię. Użytkownicy zgłaszają liczne problemy
ChatGPT ma dużą awarię. Użytkownicy zgłaszają liczne problemy
CERT Polska ostrzega przed fałszywymi powiadomieniami KSeF
CERT Polska ostrzega przed fałszywymi powiadomieniami KSeF
Problem z Blikiem i kartami Visa. Od rana usterka płatności (aktualizacja)
Problem z Blikiem i kartami Visa. Od rana usterka płatności (aktualizacja)
Awaryjne aktualizacje dla Windows Server. Rozwiązują usterki
Awaryjne aktualizacje dla Windows Server. Rozwiązują usterki
Zastrzegasz PESEL? Są dwa wyjątki
Zastrzegasz PESEL? Są dwa wyjątki
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Fałszywy SMS. Oszuści podszywają się pod ZUS
Fałszywy SMS. Oszuści podszywają się pod ZUS
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
Nowości w mObywatelu. Dodano trzy funkcje
Nowości w mObywatelu. Dodano trzy funkcje
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
ZANIM WYJDZIESZ... NIE PRZEGAP TEGO, CO CZYTAJĄ INNI! 👇