Egy eddig ismeretlen támadóhoz köthető, rosszindulatú Chrome-bővítményeket azonosítottak, melyek 2024 februárja óta folyamatosan helyeztek el a Chrome Web Strore-ba. Ezek az első ránézésre ártalmatlannak tűnnek, de rejtett funkciókkal rendelkeznek, mint például adatszivárogtatás, kártékony kódok futtatása, és egyebek. Ugyanakkor a támadó megtévesztő oldalakat is létrehozott, amik legitim szolgáltatásoknak álcázzák magukat (VPN-eknek, hirdetés- vagy médiakészítő eszközöknek), hogy rávegyék a felhasználókat a telepítésre, írta a DomainTools Intelligence.
Egy másik tényező, amely ezeknek a bővítményeknek kedvez, hogy túlzott jogosultságot kérnek maguknak a manifest.json fájlon keresztül. Emiatt lehetővé válik számukra, hogy bármely meglátogatott weboldallal interakcióba lépjenek, rosszindulatú kódokat hajtsanak végre, vagy átirányításokat végezzenek. Ezek a bővítmények, hogy megkerüljék a tartalombiztonsági szabályzatot, az onreset eseménykezelőt használnak egy ideiglenes DOM-elemen, a kód végrehajtásához. Egyes már azonosított adathalász webhelyek látszólag legitim termékeket és szolgáltatásokat utánoznak – például a DeepSeek, a Manus, a DeBank, a FortiVPN vagy a Site Stats platformokat –, hogy megtévesszék a felhasználókat, és rávegyék őket bizonyos bővítmények letöltésére és telepítésére. Ezek azonban működésük során sütiket gyűjtenek, tetszőleges kódokat töltenek le távoli szerverekről, valamint WebSocket kapcsolatot hoznak létre, amely hálózati proxyként működve, lehetővé teszi a forgalom átirányítását és manipulálását.
Egyelőre nem ismert, hogy a felhasználók pontosan milyen módon kerültek ezekre a megtévesztő oldalakra, de a szakértők szerint a támadók többféle módszert is alkalmazhattak, köztük jól ismert adathalász kampányokat vagy közösségimédia-platformokon keresztüli terjesztés.
A DomainTools szerint a káros bővítmények gyakran saját weboldallal rendelkeznek, és mivel hivatalos formában jelennek meg a Chrome Web Store-ban, normál keresések során is megjelenhetnek, ezzel növelve a hitelesség látszatát. Az elemzés arra is rámutatott, hogy több ilyen weboldal Facebook-követőkódokat használt, ami arra utal, hogy a támadók valószínűleg a Meta-platformjait – például Facebook-oldalakat, csoportokat vagy hirdetéseket – is felhasználtak. Az ismeretlen hátterű kampány során létrehozott hamis oldalak és bővítmények egy része különösen megtévesztő módon viselkedett: a DomainTools megállapítása szerint voltak olyan bővítmények, amelyek manipulálták az értékelési folyamatot. Az alacsony (1–3 csillagos) értékelést adó felhasználókat például egy külön, privát visszajelzési oldalra irányították át (az ai-chat-bot[.]pro domainre), míg a magas (4–5 csillagos) értékelők az eredeti Chrome Web Store-os értékelési oldalra kerültek vissza. Ez a gyakorlat lehetővé tette a támadók számára, hogy mesterségesen torzítsák a bővítmények megbízhatóságáról kialakuló képet.
A felhasználók biztonsága érdekében a szakértők azt tanácsolják, hogy kizárólag hitelesített fejlesztőktől származó bővítményeket telepítsék, illetve körültekintően ellenőrizzék az alkalmazás által kért engedélyeket, alaposan olvassák el a felhasználói véleményeket, és kerüljék az olyan eszközöket, amelyek hivatalos bővítményeket próbálnak utánozni. Fontos azonban szem előtt tartani, hogy a felhasználói értékelések is manipulálhatók – ezért érdemes több, független forrásból is tájékozódni, mielőtt új bővítményt telepítünk.