07/06/2018

Rozszerzenie przeglądarki Chrome, które kradnie dane

Zagrożenia

Właściciele sklepów z oprogramowaniem (Google, Apple, Amazon) muszą zwalczać szkodliwe programy tak intensywnie, jak producenci rozwiązań zabezpieczających. Jednak proces ten nigdy się nie skończy: cyberprzestępcy piszą szkodliwe oprogramowanie, a następnie szukają sposobu umieszczenia go w sklepach online. Szkodnik zostaje złapany, otrzymuje nazwę i wszyscy o nim piszą (i oczywiście zostaje usunięte). Polityka ochronna zostaje zaktualizowana, aby uniknąć takich incydentów w przyszłości. A wtedy cyberprzestępcy szukają innej drogi, aby przedostać się do sklepu, obchodząc nową politykę.

Zawsze zalecamy instalowanie aplikacji tylko z oficjalnych źródeł, jednak nie oznacza to, że strony te są wolne od zagrożeń — zwyczajnie jest ich tam o wiele mniej niż na innych serwisach. I chociaż Google Play jest stosunkowo bezpieczny, sklep Chrome Web Store to zupełnie inna sprawa. Niedawno nasi eksperci wykryli w nim szkodliwe rozszerzenie, którego celem były dane bankowe użytkowników.

Trojan bankowy w przeglądarce

Zagrożenie ukryło się pod postacią rozszerzenia o nazwie „Desbloquear Conteúdo” („odblokuj zawartość” po portugalsku), które przeprowadzało atak man-in-the-middle. Gdy użytkownik próbował odwiedzić stronę swojego banku, szkodliwy skrypt kierował ruch przez należący do cyberprzestępców serwer proxy, co umożliwiało im przeanalizowanie go i wydobycie potrzebnych informacji.

Szkodliwy program zawierał również skrypty przeznaczone do wydobywania określonych informacji wprowadzanych przez użytkowników online. Na przykład, gdy użytkownik wprowadził dane na stronie logowania do banku, szkodnik używał nakładki ekranu, która idealnie odzwierciedlała interfejs banku, jednak zastępowała pola do wprowadzania loginu, hasła i jednorazowego kodu potwierdzającego swoim własnym. Gdy użytkownik kliknął przycisk logowania się, szkodliwy program kopiował sobie dane.

Domena, na której znajdował się oszukańczy serwer poleceń, korzystała z tego samego adresu IP co inne domeny uznane wcześniej za szkodliwe — i to przyciągnęło uwagę naszych badaczy. Gdy potwierdzili oni swoje podejrzenia, skontaktowali się z Google, a szkodliwy program został szybko usunięty ze sklepu Chrome Web Store.

Pamiętaj, że podczas instalacji rozszerzenia do przeglądarki Chrome wymagają nadania im uprawnień dostępowych, które często umożliwiają im niemal nieograniczone działania na Twoim komputerze. Większość szkodliwych programów wymaga tylko jednego uprawnienia: odczytu i zmiany wszystkich danych znajdujących się na odwiedzanych stronach — a daje to dosyć szerokie pole manewru.

Jak widać, decydując się na rozszerzenie, trzeba zachować szczególną ostrożność — nie zawsze są one nieszkodliwe, mimo że sprawiają wrażenie, że skoro łatwo je zainstalować, nie mogą zrobić  żadnej krzywdy.

Jak się chronić przed szkodliwymi rozszerzeniami przeglądarek

Poniżej przygotowaliśmy kilka porad, dzięki którym nie zmniejszysz ryzyko zainstalowania szkodliwego programu przebranego pod postacią przydatnego rozszerzenia przeglądarki:

  • Instaluj tylko te rozszerzenia, do których masz zaufanie. Nie ma idealnego testu na zaufanie, dlatego warto trzymać się tylko znanych programistów.
  • Nie dodawaj rozszerzeń, jeśli ich nie potrzebujesz.
  • Jeśli z czegoś już nie korzystasz, rozważ jego usunięcie. Zawsze możesz zainstalować ponownie, jeśli zajdzie taka potrzeba.
  • Używaj sprawdzonego rozwiązania ochronnego, np. Kaspersky Internet Security. Wszystkie nowe rozszerzenia do przeglądarki Chrome są automatycznie do nas wysyłane w celu analizy, zatem nawet w przypadku tych najnowszych — szkodliwy program nie ukryje się przed nami.