Sofisticirana kampanja malicioznog softvera zarazila je više od 1,7 miliona korisnika Chromea putem jedanaest naizgled legitimnih proširenja za pretraživač, od kojih su sva nosila Googleovu potvrdu i imala istaknuto mjesto u Chrome Web Store-u. Kampanja pod nazivom “Malicious11”, koju su otkrili istraživači bezbjednosti iz Koi Security-ja, predstavlja jednu od najvećih operacija preotimanja pretraživača ikada zabilježenih, eksploatišući same signale povjerenja na koje se korisnici oslanjaju pri identifikaciji bezbjednih proširenja.
Savršena operacija trojanskog konja
Maliciozna proširenja predstavljala su se kao popularni alati za produktivnost i zabavu u različitim kategorijama, uključujući tastature s emojijima, vremenske prognoze, kontrolere brzine video zapisa, VPN proxy-je za Discord i TikTok, tamne teme, pojačivače zvuka i deblokatore YouTube-a. Ono što je ovu kampanju učinilo posebno lukavom jeste to što je svako proširenje isporučilo upravo ono što je obećavalo, istovremeno implementirajući sofisticirane mogućnosti nadzora i preotimanja.
Istraga je započela kada su istraživači analizirali proširenje “Color Picker, Eyedropper — Geco colorpick”, s više od 100.000 instalacija i preko 800 recenzija. Uprkos tome što se činilo potpuno legitimnim i održavalo potvrđeni status, proširenje je potajno otimala korisničke pretraživače, prateći svaku posjetu web stranici i održavajući upornu pozadinu za komandovanje i kontrolu.
Možda je najzabrinjavajuće kako je maliciozni softver implementiran. Ovo nijesu bila maliciozna proširenja od prvog dana – radila su legitimno godinama prije nego što su postala maliciozna putem ažuriranja verzija. Kôd svakog proširenja ostajao je čist, ponekad godinama, prije nego što je maliciozni softver implementiran kroz automatska ažuriranja koja su se tiho instalirala za više od 1,7 miliona korisnika.
“Zbog načina na koji Google obrađuje ažuriranja proširenja za pretraživače, ove verzije se automatski instaliraju tiho,” primijetili su istraživači. “Nema krađe identiteta. Nema socijalnog inženjeringa. Samo povjerena proširenja s tihim povećanjem verzije.”
Sofisticirano preotimanje pretraživača
Maliciozni softver implementira sofisticirani mehanizam preotimanja pretraživača koji se aktivira svaki put kada korisnici navigiraju na novu stranicu. Sakriven u pozadinskom servisnom radniku svakog proširenja nalazi se kôd koji nadzire svu aktivnost kartica, snimajući URL-ove i šaljući ih udaljenim serverima zajedno s jedinstvenim identifikatorima za praćenje.
Ovo stvara ogromnu trajnu mogućnost “čovjeka u sredini” koja se može iskoristiti u bilo kojem trenutku. Na primjer, korisnici koji kliknu na pozivnice za Zoom sastanke mogu biti preusmjereni na lažne stranice koje tvrde da trebaju preuzeti “kritična ažuriranja”, ili bankarske sesije mogu biti presretnute i preusmjerene na savršene replike hostirane na serverima napadača.
Kampanja Malicious11 razotkriva sistemske propuste u bezbjednosti tržišta. Googleov proces verifikacije nije uspio da otkrije sofisticirani maliciozni softver u jedanaest različitih proširenja, umjesto toga promovišući nekoliko putem znački za verifikaciju i istaknutog plasmana. Hakeri su uspješno iskoristili svaki signal povjerenja na koji se korisnici oslanjaju – značke za verifikaciju, broj instalacija, istaknuti plasman, godine legitimnog rada i pozitivne recenzije.
Odmah potrebne mjere
Korisnici bi trebalo odmah da uklone sva pogođena proširenja, očiste podatke pretraživača kako bi uklonili pohranjene identifikatore za praćenje, pokrenu potpune bezbjednosne skenove sistema i nadziru naloge za sumnjivu aktivnost. Incident naglašava hitnu potrebu za poboljšanim bezbjednosnim mehanizmima tržišta kako se prijetnje razvijaju izvan pojedinačnih napada i stvaraju sveobuhvatnu infrastrukturu koja može ostati uspavana godinama prije aktivacije.
Ova kampanja predstavlja prijelomni trenutak u bezbjednosti proširenja za pretraživače, pokazujući kako je trenutni bezbjednosni model tržišta fundamentalno pokvaren.
