Analytici Avastu získali nové informace o škodlivých rozšířeních pro prohlížeče Google Chrome a Microsoft Edge, které byly reportovány již v prosinci.
Analytici Avastu získali nové informace o škodlivých rozšířeních pro prohlížeče Google Chrome a Microsoft Edge, které byly reportovány již v prosinci.
Malware s názvem CacheFlow v těchto rozšířeních, která si nainstalovaly nejméně 3 miliony uživatelů po celém světě, dokázal ukrást osobní údaje z Google účtu uživatele, přesměrovat jeho kliknutí a upravovat výsledky vyhledávání. Škodlivý kód se přitom aktivoval až tři dny poté, co si jej uživatel stáhl do svého zařízení. Útočníci také použili novou taktiku k zakrytí svého C&C provozu, kterou se jej pokusili zamaskovat jako webovou analytiku.
Avast využil i znalostí odborníků z české spoelečosti CZ.NIC, kde se inspirovali ohledně způsobů hledání škodlivého kódu mezi doplňky.
Analytik CZ.NIC Edvard Rejthar uvedl: „Jak nachytat na švestkách škodlivý doplněk prohlížeče? Identifikoval jsem nestandardní chování počítače, zjistil, z jakého doplňku přichází a našel v nevinně vyhlížejícím zdrojovém kódu, které řádky jsou za to odpovědny. Přináším vám zápisek z lovení malwaru.“
Zpráva Avast z prosince 2020:
Analytici Avastu odhalili malware v nejméně 28 rozšířeních celosvětově známých platforem pro Google Chrome a Microsoft Edge. Tento škodlivý software dokáže uživatele přesměrovat na reklamní nebo phishingové stránky a zcizit jejich osobní údaje, jako je datum narození, e-mailová adresa a aktivní zařízení. Podle informací o stažení z obchodů s aplikacemi mohl tento malware napadnout až tři miliony lidí po celém světě.
Mezi infikovaná rozšíření patří Video Downloader for Facebook, Vimeo Video Downloader, Instagram Story Downloader, VK Unblock a další pro prohlížeče Google Chrome a Microsoft Edge. V rozšířeních založených na Javascriptu objevili analytici Avastu škodlivý kód, který jim umožňuje malware stáhnout do počítače uživatele.
Uživatelům tato rozšíření komplikují prohlížení internetu a přesměrovávají je na jiné stránky. Kdykoli uživatelé kliknou na nějaký odkaz, rozšíření odešle informaci na kontrolní server útočníka, který může ještě před otevřením požadované stránky vyslat příkaz k přesměrování oběti na novou, škodlivou URL adresu. Tento proces narušuje soukromí uživatelů, jelikož odesílá záznamy o všech kliknutích webovým stránkám třetích stran. Útočníci tímto způsobem také dokáží zjistit datum narození a e-mailovou adresu uživatelů i údaje o jejich zařízení, jako je datum prvního a posledního přihlášení, jméno zařízení, operační systém, verze používaného prohlížeče a dokonce i IP adresu (kterou mohou následně použít k určení přibližné polohy konkrétních uživatelů).
Analytici Avastu se domnívají, že cílem malwaru je zpeněžení samotného provozu. Za každé přesměrování na doménu třetí strany by kyberzločinci dostali platbu. Rozšíření však také umožňuje přesměrovat uživatele na reklamy nebo phishingové stránky.
Zdroj: Avast blog
KOMENTÁŘE