Rozszerzenie Chrome'a wykradało hasła i klucze, winne słabe zabezpieczenia Google'a

Strona głównaRozszerzenie Chrome'a wykradało hasła i klucze, winne słabe zabezpieczenia Google'a
05.09.2018 13:42
Rozszerzenie Chrome'a wykradało hasła i klucze, winne słabe zabezpieczenia Google'a

Wśród rozszerzeń dla przeglądarki Chrome pojawiło się jedno złośliwe i bardzo groźne. Cyberprzestępcy umieścili złośliwy kod w prawdziwym rozszerzeniu do obsługi dysku w chmurze MEGA.nz i tym sposobem wykradali dane logowania oraz prywatne klucze do portfeli kryptowalut.

Szkodliwy kod został znaleziony w źródłach rozszerzenia MEGA.nz w wersji 3.39.4, wydanej 4 września. Z analizy wynika, że aktywował się na takich stronach, jak Amazon, GitHub, Google, live.com (Microsoft), a także po odwiedzeniu stron portfeli kryptowalut MyMonero, MyEtherWallet i kantoru IDEX. Rozszerzenie wydobywało ze stron loginy, hasła, dane sesji potrzebne do podszywania się pod użytkowników, a na stronach zarządzających kryptowalutami także prywatne klucze, potrzebne do uzyskania dostępu do portfeli. Informacje były wysyłane do serwera megaopac.host, zlokalizowanego na Ukrainie.

Zarządzający Chrome Web Store już interweniowali i usunęli rozszerzenie ze sklepu, a także wyłączyli je użytkownikom, którzy z niego korzystają i zdążyli zainstalować szkodliwą wersję. Warto jednak upewnić się na własną rękę, że rozszerzenie zostało wyłączone, jeśli z niego korzystacie. Polecamy też zmianę haseł na wspomnianych stronach, a kryptowaluty przelać do nowego portfela z wygenerowanymi nowymi kluczami.

Kryzys został już zażegnany. Rzecznik Mega.nz poinformował, że rozszerzenie zostało ponownie zaktualizowane i wersja 3.39.5 jest znów bezpieczna. Firma stara się teraz dowiedzieć, jak doszło do ataku na jej konto w Chrome Web Store. Specjaliści nie znaleźli żadnych podejrzanych mechanizmów w kodzie rozszerzenia Mega.nz dla Firefoxa.

Taka sytuacja nie powinna mieć miejsca w rozszerzeniu obecnym na centralnie zarządzanej platformie dystrybucji, ale jednak zaistniała, co każe nam podchodzić do Chrome Web Store z rezerwą. Nie jest to też pierwszy taki przypadek, ale większość udokumentowanych wcześniej ataków bazowała na phishingu – rozszerzenia przekierowywały na spreparowane wersje stron i w ten sposób wydobywały wrażliwe dane.

Rzecznik MEGA.nz wyraził niezadowolenie z zabezpieczeń platformy, przez które atakującym udało się przejąć rozszerzenie. Od dłuższego czasu Chrome Web Store nie pozwala na ręczne podpisywanie rozszerzeń kluczem programisty przed umieszczeniem w sklepie, a jedynie podpisuje je automatycznie przy publikacji. To znacznie ułatwia podobne ataki i podszywanie się pod prawdziwe rozszerzenia. MEGA.nz zapewnia, że aplikacje mobilne i inne produkty, które zostały podpisane ich własnym kluczem przed publikacją, są odporne na podobne ataki.

Programy

Aktualizacje
Aktualizacje
Nowości
Udostępnij:
Wybrane dla Ciebie
Komentarze (20)