Google usuwa 3 fałszywe rozszerzenia VPN z 1,5 milionami użytkowników ze sklepu Chrome Web Store

Google usuwa 3 fałszywe rozszerzenia VPN z 1,5 milionami użytkowników ze sklepu Chrome Web Store

Uważaj na złośliwe rozszerzenia Chrome: spostrzeżenia z Reason Labs

W znaczącym odkryciu cyberbezpieczeństwa badacze z Reason Labs ujawnili obecność trzech złośliwych rozszerzeń internetowych Chrome, które łącznie zgromadziły około 1,5 miliona instalacji. Początkowo zamaskowane jako wiarygodne usługi VPN, rozszerzenia te zinfiltrowały przeglądarki użytkowników za pośrednictwem pobierania torrentów.

Metody dystrybucji złośliwych rozszerzeń

Podstępne rozprzestrzenianie się tych rozszerzeń odbywało się głównie za pośrednictwem plików torrent popularnych gier wideo. Reason Labs wyróżniło konkretne tytuły, takie jak Grand Theft Auto, The Sims 4, Heroes of Might and Magic III i Assassin’s Creed, z których wszystkie rzekomo były używane do zwabiania nieświadomych użytkowników. Co zadziwiające, instalator trojana był osadzony w ponad 1000 różnych plikach torrent, które rzekomo zapewniały dostęp do gier premium.

Charakterystyka instalatora

  • **Rozmiar pliku**: Rozmiar tych podejrzanych plików instalacyjnych waha się od 60 MB do 100 MB.
  • **Informacje o sygnatariuszu**: Częste używanie nazwy sygnatariusza „Spice & Wok Limited” sugeruje wspólną próbę zalegalizowania instalatorów, choć stosowano również inne nazwy.
  • **Instalacja automatyczna**: Po uruchomieniu instalator po cichu instaluje jedno ze złośliwych rozszerzeń w przeglądarce użytkownika, bez żadnej interakcji.

Ukryty proces instalacji manipuluje kluczem rejestru Windows znajdującym się w SOFTWARE\Google\Chrome\PreferenceMACs\Default\extensions.settings\, co umożliwia całkowite ominięcie użytkowników. Ta taktyka nie jest jednak nowa; podobne metody odkryto już w 2014 r.

Wpływ na użytkowników i urządzenia

Po instalacji użytkownicy nieświadomie przyjęli dwa różne rozszerzenia: netSave dla Chrome i netPlus dla Microsoft Edge, przy czym samo złośliwe rozszerzenie Chrome osiągnęło ponad milion instalacji, jak podają badacze. Kod JavaScript powiązany z tymi rozszerzeniami — obejmujący ponad 20 000 wierszy — komplikuje wysiłki analityczne, podczas gdy złośliwe rozszerzenie maskuje się jako VPN i wdraża to, co eksperci nazywają hackiem cashback activity.

Odkrywanie prawdziwych intencji

  • **Wyłączanie rozszerzeń konkurencji**: Zainstalowane rozszerzenie wyłącza inne legalne rozszerzenia związane ze zwrotem gotówki, które już znajdują się w przeglądarce.
  • **Fałszywy interfejs VPN**: Użytkownikom prezentowany jest fałszywy interfejs użytkownika VPN, ukrywający jego ukryte cele.
  • **Docelowa grupa demograficzna**: Złośliwe oprogramowanie wydaje się być skierowane do osób rosyjskojęzycznych, a jego ataki dotyczą głównie użytkowników z Rosji, Ukrainy i Kazachstanu.

Zalecenia dotyczące bezpieczeństwa dla użytkowników przeglądarek

W odpowiedzi na te alarmujące odkrycia Reason Labs natychmiast powiadomiło Google, co spowodowało szybkie usunięcie złośliwych rozszerzeń z Chrome Web Store. Jednak użytkownicy Chrome i Edge są wzywani do aktywnego sprawdzania listy zainstalowanych rozszerzeń, aby upewnić się, że te szkodliwe dodatki nie są obecne na ich urządzeniach.

Podstawowe środki ostrożności, które należy wziąć pod uwagę

  • **Korzystaj z legalnych źródeł**: Pobieraj rozszerzenia, gry i programy wyłącznie ze sprawdzonych i legalnych źródeł.
  • **Regularne aktualizacje oprogramowania antywirusowego**: Utrzymuj aktualny program antywirusowy, aby chronić się przed zagrożeniami.
  • **Uwaga na linki**: Nie klikaj nieznanych linków ani wyskakujących reklam.
  • **Wdróż uwierzytelnianie dwuskładnikowe**: Wzmocnij bezpieczeństwo, stosując uwierzytelnianie dwuskładnikowe na wszystkich kontach, gdziekolwiek jest to możliwe.

Osoby zainteresowane bardziej szczegółowymi informacjami technicznymi na temat badań mogą zapoznać się ze stroną internetową Reason Labs .

Twoja kolej : Czy jesteś ostrożny w kwestii rozszerzeń przeglądarki, z których korzystasz?

Dodatkowe informacje

1. Jak mogę stwierdzić, czy rozszerzenie jest złośliwe?

Szukaj rozszerzeń, które mają małą liczbę użytkowników, słabe recenzje lub nie mają jasnych informacji o deweloperach. Zachowaj ostrożność, jeśli rozszerzenie żąda nadmiernych uprawnień, które wydają się niepotrzebne dla jego funkcjonalności.

2. Co powinienem zrobić, jeśli podejrzewam, że zainstalowano złośliwe rozszerzenie?

Jeśli uważasz, że zainstalowałeś złośliwe rozszerzenie, natychmiast usuń je z ustawień przeglądarki. Ponadto uruchom pełne skanowanie antywirusowe, aby upewnić się, że na Twoim urządzeniu nie ma dalszych zagrożeń.

3. Czy istnieją bezpieczne sposoby pobierania oprogramowania z torrentów?

Podczas gdy pobieranie z torrentów wiąże się z nieodłącznym ryzykiem, korzystanie z renomowanych witryn torrentowych i upewnienie się, że wszystkie pobrane pliki są skanowane pod kątem złośliwego oprogramowania, może złagodzić niektóre zagrożenia. Zawsze priorytetowo traktuj pobieranie z uznanych źródeł.

Źródło i obrazy

Powiązane artykuły:

Google Chrome zablokuje pliki cookie śledzące innych firm dla niektórych użytkowników w styczniu 2024 r.
Przewodnik po uaktualnianiu z systemu Windows 11 23H2 do 24H2 na nieobsługiwanym sprzęcie

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *