Nepoznata prijetnja pripisana je kreiranju više malicioznih ekstenzija za Google Chrome od februara 2024. godine, koje se predstavljaju kao korisne i bezopasne alatke, ali u sebi sadrže skrivene funkcije za krađu podataka, primanje naredbi i izvršavanje proizvoljnog koda.
“Napadač kreira web stranice koje se predstavljaju kao legitimne usluge – alatke za produktivnost, kreiranje i analizu reklama i medija, VPN servisi, kripto i bankarske aplikacije – kako bi naveo korisnike da instaliraju pripadajuće zlonamjerne ekstenzije putem Chrome Web Store-a,” navodi DomainTools Intelligence (DTI) u izvještaju podijeljenom sa portalom The Hacker News.
Iako te ekstenzije naizgled nude obećane funkcije, u pozadini omogućavaju:
- krađu lozinki i kolačića (cookies),
- preuzimanje sesija (session hijacking),
- ubacivanje neželjenih reklama,
- maliciozna preusmjeravanja,
- manipulaciju saobraćajem,
- fišing napade putem manipulacije DOM-a (Document Object Model).
Iskorištavanje dozvola i zaobilaženje sigurnosnih pravila
Ekstenzije sebi dodjeljuju pretjerane dozvole kroz datoteku manifest.json, što im omogućava:
- interakciju sa svakom posjećenoj web stranicom,
- izvršavanje daljinskog koda sa servera napadača,
- maliciozna preusmjeravanja i ubacivanje reklama.
Takođe, utvrđeno je da koriste onreset događaj na privremenom DOM elementu za izvršavanje koda – vjerovatno kako bi zaobišle Content Security Policy (CSP) zaštitu.
Lažne stranice imitiraju poznate servise
Neke od lažnih stranica imitiraju poznate proizvode i servise poput:
- DeepSeek
- Manus
- DeBank
- FortiVPN
- Site Stats
Ove stranice navode korisnike da preuzmu zlonamjerne ekstenzije, koje zatim:
- prikupljaju kolačiće,
- povlače skripte sa udaljenih servera,
- uspostavljaju WebSocket konekciju koja djeluje kao proxy za mrežni saobraćaj.
Trenutno nije poznato kako tačno korisnici dolaze do ovih lažnih stranica, ali DomainTools navodi da se najvjerovatnije koriste phishing i društvene mreže.
“Pošto se pojavljuju i na Chrome Web Store-u i imaju pripadajuće web stranice, često se pojavljuju u rezultatima pretrage – i na webu i unutar same Chrome prodavnice.”
Mnoge od tih stranica koriste Facebook tracking ID-ove, što snažno sugeriše da se koriste Meta platforme (poput Facebook stranica, grupa ili reklama) za privlačenje posjetilaca.
Ko stoji iza kampanje?
Još uvijek se ne zna ko stoji iza kampanje, ali je poznato da su kreirali preko 100 lažnih web stranica i Chrome ekstenzija. Google je u međuvremenu uklonio te zlonamjerne dodatke.
Preporuke za zaštitu korisnika
Da biste umanjili rizik:
- Instalirajte ekstenzije samo od provjerenih developera.
- Pažljivo pregledajte dozvole koje ekstenzija traži.
- Provjerite recenzije, ali budite svjesni da ocjene mogu biti lažno napuhane.
- Izbjegavajte ekstenzije koje liče na popularne, ali nemaju zvanične potvrde.
DTI je otkrio i da su ekstenzije koje imitiraju DeepSeek koristile trik: korisnike koji daju nisku ocjenu (1–3 zvjezdice) preusmjeravale su na privatni obrazac za povratne informacije (na domenu ai-chat-bot[.]pro), dok su one s visokim ocjenama (4–5) upućivane na zvaničnu stranicu za recenzije na Chrome Web Store-u.
Izvor:The Hacker News