Több millió felhasználót figyelhettek meg rosszindulatú Chrome- és Edge- böngészőbővítményekkel


csütörtök 12:36

A kiberbiztonsági kutatók felfedeztek egy kampányt, amely 18, a Chrome és Edge hivatalos áruházaiból letölthető böngészőbővítményen keresztül figyelte meg a felhasználók online tevékenységét. Ezek a bővítmények hasznos funkciókat kínáltak, pozitív értékeléseket kaptak, ellenőrző badge-ekkel rendelkeztek, sőt, néhány kiemelt appként is megjelent. A probléma az, hogy a kiberbűnözők idővel rosszindulatú kódot tudnak beilleszteni a már elérhető bővítményekbe frissítések által. A kutatók az ilyen, kezdetben ártalmatlan bővítményeket „alvó ügynököknek” („sleeper agents”) nevezik, mivel későbbi támadások alapjául szolgálhatnak. Egyes bővítmények évekig működtek gond nélkül, ami arra utalhat, hogy feltörték őket. „Felébredésük” után böngészőeltérítőt telepítettek, amely minden alkalommal aktiválódott, amikor a felhasználók megnyitottak egy weboldalt.

Valahányszor, amikor a felhasználó meglátogatott egy weboldalt, a bővítmények:

  1. Rögzítették az oldal URL-címét.
  2. Egyedi azonosítókkal ellátva továbbították az adatokat egy távoli szerverre.
  3. Átirányítási utasításokat fogadtak a vezérlőszervertől (C&C).
  4. Automatikusan átirányították a felhasználót, ha erre utasítást kaptak.

A kutatók a következő példán keresztül mutatták be a folyamatot: „Ha Zoom-meghívóra kattintottunk, a bővítmény átirányíthatott egy hamis oldalra, ami „kritikus frissítés” letöltésére szólított fel, valójában viszont rosszindulatú programot telepített.”

A webáruházak bővítményei automatizált és manuális ellenőrzéseken esnek át, amelyek a biztonságot, az irányelveknek való megfelelést és a felhasználói élményt hivatottak biztosítani. A cél a felhasználók védelme a csalásokkal, a rosszindulatú programokkal és más káros tevékenységekkel szemben. A rendszer azonban nem hibátlan, időnként megesik, hogy ezeken a szűrőkön átjut néhány kártékony szoftver.

Mit tehetünk?

Ellenőrizzük, hogy nincs-e telepítve az érintett bővítmények valamelyike a számítógépünkre.

  • Emoji keyboard online (Chrome)
  • Free Weather Forecast (Chrome)
  • Unlock Discord (Chrome)
  • Dark Theme (Chrome)
  • Volume Max (Chrome)
  • Unblock TikTok (Chrome)
  • Unlock YouTube VPN (Chrome)
  • Geco colorpick (Chrome)
  • Weather (Chrome)
  • Unlock TikTok (Edge)
  • Volume Booster (Edge)
  • Web Sound Equalizer (Edge)
  • Header Value (Edge)
  • Flash Player (Edge)
  • Youtube Unblocked (Edge)
  • SearchGPT (Edge)
  • Unlock Discord (Edge)
Bármelyik bővítmény jelenléte esetén a teendők a következők:
  • Töröljük a böngészési adatokat (előzmények, sütik, gyorsítótár, webhelyadatok), hogy eltávolítsuk az esetleges nyomkövetőket vagy munkamenet-tokeneket.
    Megjegyzés: ezután újra be kell jelentkeznünk a weboldalakon.
  • Figyeljük, ha fiókjainkban gyanús tevékenységet észlelünk, különösen, ha érzékeny weboldalakat (például online banki szolgáltatásokat) használtunk. Feltétlenül változtassuk meg jelszavainkat!
  • Kapcsoljuk be a kétfaktoros hitelesítést (2FA), ahol elérhető, a nagyobb biztonság érdekében.
  • Állítsuk vissza böngészőnk beállításait alapértelmezettre, hogy eltávolítsuk a bővítmények által végzett módosításokat.
    Megjegyzés: ez a saját beállításainkat is törli. Alternatívaként figyeljük a gyanús jeleket, pl. átirányítások, módosult keresőmotor, új eszköztárak.
  • Figyeljük az e-mailben vagy SMS-ben érkező biztonsági figyelmeztetésekre az ismeretlen hozzáférésekről.
  • Frissítsük a böngészőt és a bővítményeket, hogy mindig naprakészek legyenek.
  • Legyünk óvatosak a frissítés utáni új engedélykérésekkel: nézzük meg, miért kellenek, és valóban szükségesek-e.
A rosszindulatú bővítmények és domain neveik listája:

Chrome extensions:

  • kgmeffmlnkfnjpgmdndccklfigfhajen Emoji keyboard online
  • dpdibkjjgbaadnnjhkmmnenkmbnhpobj Free Weather Forecast
  • gaiceihehajjahakcglkhmdbbdclbnlf Free Weather Forecast
  • mlgbkfnjdmaoldgagamcnommbbnhfnhf Unlock Discord
  • eckokfcjbjbgjifpcbdmengnabecdakp Dark Theme
  • mgbhdehiapbjamfgekfpebmhmnmcmemg Volume Max
  • cbajickflblmpjodnjoldpiicfmecmif Unblock TikTok
  • pdbfcnhlobhoahcamoefbfodpmklgmjm Unlock YouTube VPN
  • eokjikchkppnkdipbiggnmlkahcdkikp Geco colorpick
  • ihbiedpeaicgipncdnnkikeehnjiddck Weather

Edge extensions:

  • jjdajogomggcjifnjgkpghcijgkbcjdi Unlock TikTok
  • mmcnmppeeghenglmidpmjkaiamcacmgm Volume Booster
  • ojdkklpgpacpicaobnhankbalkkgaafp Web Sound Equalizer
  • lodeighbngipjjedfelnboplhgediclp Header Value
  • hkjagicdaogfgdifaklcgajmgefjllmd Flash Player
  • gflkbgebojohihfnnplhbdakoipdbpdm Youtube Unblocked
  • kpilmncnoafddjpnbhepaiilgkdcieaf SearchGPT
  • caibdnkmpnjhjdfnomfhijhmebigcelo Unlock Discord

Domainek:

  • admitab[.]com
  • edmitab[.]com
  • videocontrolls[.]com
  • undiscord[.]com
  • darktheme[.]net
  • jermikro[.]com
  • untwitter[.]com
  • unyoutube[.]net
  • admitclick[.]net
  • addmitad[.]com
  • admiitad[.]com
  • abmitab[.]com
  • admitlink[.]net

A rosszindulatú bővítmények nagy részét már eltávolították a webáruházakból.

(malwarebytes.com)

Címkék

2FA Chrome Domain Edge Google Chrome Microsoft Edge böngésző bővítmény bővítmény jelszó kétfaktoros azonosítás otthoni kiberbiztonság

Kapcsolódó tartalmak: