Zlonamjerna proširenja za Chrome predstavljaju značajan rizik za korisnike, jer mogu ugroziti lične podatke, ubaciti neželjene promocije, pa čak i manipulisati web prometom.
Postoji nekoliko malicioznih ekstenzija koje ostaju neotkrivene duži vremenski period, a to se prvenstveno događa zbog neadekvatne moderacije od strane Chrome web trgovine.
Istraživači eSentire Threat Response Unit (TRU) nedavno su identifikovali zlonamjernu ekstenziju za Chrome koja isporučuje naoružane ZIP arhive.
Maliciozno proširenje za Chrome
Jedinica za odgovor na prijetnje kompanije eSentire otkrila je sofisticirani napad zlonamjernog softvera u avgustu 2024. godine, a ovaj napad zlonamjernog softvera uključivao je dva zlonamjerna elementa, LummaC2 krađu i zlonamjernu ekstenziju Google Chrome.
Napad je započeo preuzimanjem zlonamjerne ZIP datoteke koja se zove “x64x32installer___.zip”, a ova zlonamjerna ZIP datoteka sadrži MSI datoteku.
Za dobijanje lozinke, ova datoteka uspostavlja komunikaciju sa serverom na „get-license2[.]com“, a zatim dobijenu lozinku koriste hakeri za izdvajanje zlonamernog DLL-a pod nazivom „rnp.dll“.
Sada u ovom trenutku da bi učitali maliciozni DLL, hakeri su koristili bočno učitavanje DLL-a koristeći legalan program koji je dio OpenPGP kriptografskih alata, “rnpkeys.exe”.
Ovaj proces je doveo do implementacije LummaC2 stealer-a i PowerShell komande . Ova dva elementa pomažu u preuzimanju i dešifrovanju dodatnog tereta sa “two-root[.]com.”
Posljednja faza uključivala je instaliranje zlonamjerne ekstenzije za Chrome pod nazivom “Save to Google Drive”, koja bi mogla komunicirati s nalozima kriptovaluta na platformama kao što su Facebook, Coinbase i Google Pay, dodao je eSentire .
Ova ekstenzija je imala mogućnosti da manipuliše stanjem na računu, potencijalno izvršava transakcije i prikuplja opsežne informacije o sistemu i pretraživaču, uključujući:-
- Detalji o hardveru
- Instalirane ekstenzije
- Kolačići
- Jedinstveni identifikator uređaja
Svi prikupljeni podaci su zatim proslijeđeni na komandni i kontrolni (C2) server.
Koristeći funkciju “getInjections”, pronađena je ekstenzija preglednika kreirana u zlonamjerne svrhe koja mijenja funkcije izvornog pretraživača.
Otvara iskačuće prozore prilično skrivene od pogleda korisnika kako bi pratili neke URL-ove kao što su payments.google, consent.youtube.com, accounts.google.com i adsmanager.facebook.com.
Ekstenzija dobro radi sa dobavljačima e-pošte kao što su Outlook, Gmail i Yahoo Mail gdje se konfiguracija iz chrome.storage.local ubrizgava u web stranice i mijenja sadržaj.
Pošto je u stanju da menja sadržaj pošte, tako da zbog ove mogućnosti može da zgrabi i dvofaktorne kodove za autentifikaciju.
Integracija je sa CursedChrome, koji se takođe smatra implantom koji konvertuje narušene pretraživače u HTTP proksije da bi počinitelj surfovao kao žrtva.
Osim toga, šalje i snimke ekrana kartica na C2 server uz pomoć “makeScreenShot” funkcije.
C2 adrese se kodiraju i zatim koriste kao Base58 iz URL-ova mempula i blockchaina u odnosu na određenu bitcoin adresu “bc1qvkvzfla6wrem2uf4ejkuja8yp3c6f3xf72kyc9”.
Ovaj lanac napada se izvršava kroz učitavač koristeći učitavanje sa strane DLL-a da bi se implementirao LummaC2 kradljivac i zlonamjerna ekstenzija.
Kao odgovor na ovo, 24/7 SOC tim je izolovao zaraženog domaćina i pomogao u sanaciji.
Izvor: CyberSecurityNews