108 Chrome ekstenzija krade podatke korisnika

Ekstenzije, iz kategorija kao što su igre, alati društvenih medija i programi za prevođenje, djeluju legitimno, ali tajno prikupljaju osjetljive podatke. Sve su povezane sa jedinstvenom komandno-kontrolnom (C2) infrastrukturom kako bi operateri mogli da agregiraju ukradene informacije na jednom mjestu.

Iako su objavljene pod pet različitih naloga programera, istraživači su identifikovali zajedničku komandno-kontrolnu (C2) infrastrukturu, kao i slične obrasce ponašanja, što ukazuje na koordinisanu operaciju jednog aktera.

Istraživači su primjetili nekoliko različitih tehnika napada koje se koriste istovremeno. Posebno se izdvaja ekstenzija fokusirana na Telegram, koja na svakih 15 sekundi bilježi aktivne sesije, omogućavajući napadačima potpuni pristup nalozima bez potrebe za lozinkom ili MFA kodom.

Dodatno, pojedine ekstenzije prikupljaju podatke Google naloga putem OAuth2 dozvola, ubacuju reklame zaobilazeći zaštitu pregledača ili otvaraju proizvoljne stranice kroz skrivene backdoor mehanizme. Mnoge rade kontinuirano u pozadini, čak i ako korisnici nemaju nikakvu interakciju sa njima.

Ključna identifikovana ponašanja su da 54 ekstenzije prikupljaju podatke Google profila, 45 sadrži trajni backdoor koji se aktivira pri pokretanju pregledača, više alata ubacuje skripte ili reklame na platformama poput YouTube-a i TikTok-a i da jedna ekstenzija funkcioniše kao proksi za prevođenje preusmjeravajući saobraćaj kroz servere napadača.

Poseban problem predstavlja tzv. “dual behavior” — ekstenzije istovremeno rade ono što obećavaju, ali paralelno izvršavaju maliciozne aktivnosti u pozadini, što otežava njihovo otkrivanje.

Infrastruktura podržava i model Malware-as-a-Service, omogućavajući trećim stranama pristup ukradenim podacima i aktivnim sesijama.

U trenutku otkrića, svih 108 ekstenzija i dalje je bilo dostupno za preuzimanje. Međutim, u međuvremenu su obavješteni odgovarajući bezbjednosni timovi i pokrenuti zahtjevi za njihovo uklanjanje, piše Informacija.