Złośliwe rozszerzenia przeglądarek
źródło: opracowanie własne
Rozszerzenie przeglądarki to mały moduł oprogramowania dodający określone funkcje do przeglądarki internetowej, tak aby rozszerzyć jej możliwości poza ustawieniami domyślnymi. Powstały, aby poprawić doświadczenia użytkownika podczas korzystania z przeglądarek internetowych, a zakres ich działania jest ogromny od blokowania reklam przez tworzenie i szyfrowanie haseł aż do narzędzi zwiększających efektywność. Rozszerzenia przeglądarki są zazwyczaj dostępne w oficjalnych sklepach odrębnych dla różnych przeglądarek jak Chrome Web Store dla przeglądarki Google Chrome.
Zagrożenia związane ze złośliwymi rozszerzeniami przeglądarek (malicious browser extensions)
Korzystanie z rozszerzeń przeglądarek związane jest jednak z niemałym ryzykiem. Podobnie jak w przypadku aplikacji mobilnych – oszuści szybko znaleźli całą gamę sposobów na wykorzystanie ich do oszustw internetowych, w tym także Ad Fraudów. Ponieważ umieszczane są w prawdziwych przeglądarkach są w stanie unikać wykrycia co umożliwia im wykonywanie wielu szkodliwych działań takich jak:
- potajemne gromadzenie wrażliwych danych,
- śledzenie, a następnie kopiowanie aktywności w sieci,
- wstrzykiwanie niechcianych reklam,
- przekierowywanie do złośliwych witryn,
- wyodrębnianie danych z aplikacji przeglądarki, takich jak dane uwierzytelniające,
- przechwytywanie danych z samej sesji przeglądania: wideo, audio i wszystko inne co zostało skopiowane\wklejone\wypełnione lub wpisane na stronie internetowej,
- kradzież danych logowania do kont na Facebooku i innych portalach społecznościowych,
- zużywanie mocy urządzenia do wydobywania kryptowalut, a nawet
- przejęcie kontroli nad przeglądarką użytkownika.
Złośliwe rozszerzenia przeglądarki to również popularny wybór dla atakujących chcących przeniknąć do sieci danej firmy. Dzięki ich zastosowaniu możliwe jest uzyskiwanie dostępów do zasobów organizacji przy użyciu zebranych danych uwierzytelniających oraz ukierunkowane ataki phishingowe oparte na informacjach zebranych od użytkowników.
Wiele złośliwych rozszerzeń zaprojektowano tak, aby działały w ukryciu, podszywając się pod legalne rozszerzenia przeglądarki jak Tłumacz Google lub rozszerzenia z przydatnymi funkcjami jak PDF Converter czy Video Downloader.
Skala zjawiska
Według badaczy z firmy Kaspersky, zajmującej się cyberbezpieczeństwem tylko w pierwszej połowie 2022 r. 1,3 mln użytkowników zetknęło się z zagrożeniami związanymi z rozszerzeniami przeglądarek. Stanowi to ponad 70% liczby użytkowników dotkniętych tym samym problemem w całym 2021 r., co świadczy o tym, że zjawisko znacznie przybiera na sile.
Choć takie niechciane dodatki do przeglądarek najczęściej dystrybuowane są za pośrednictwem stron trzecich, wiele z nich przenika również do oficjalnych platform – w 2020 roku Google usunął 106 złośliwych rozszerzeń przeglądarki ze swojego Chrome Web Store. Zanim jednak takie fraudowe moduły oprogramowania zostały usunięte pobrano je 32 miliony razy. Oszuści wykorzystywali je do zbierania wrażliwych danych (jak pliki cookie i hasła), a nawet robienia zrzutów ekranu.
Trzeba również pamiętać, że samo usunięcie złośliwych rozszerzeń z oficjalnego sklepu niewiele zmienia, dla osób, które już zainstalowały takie fraudowe wtyczki - Chrome nie odinstalowuje automatycznie rozszerzeń, co oznacza, że pozostaną one na urządzeniach aż do momentu, kiedy zostaną usunięte przez użytkownika.
Zainstalowanie złośliwego rozszerzenia może zapewnić atakującemu pełną widoczność i kontrolę nad wszystkim danymi, które przepływają lub znajdują się w przeglądarce. Jak to możliwe? Użytkownicy sami nadają im do tego uprawnienia myśląc, że mają do czynienia z oryginalnymi rozszerzeniami, i przypadkowo nadając im dostęp do wrażliwych danych, a nawet umożliwiając przejęcie kontroli nad całą przeglądarką.
Oprogramowanie typu adware
Jednym z najbardziej rozpowszechnionych zagrożeń podszywających się pod rozszerzenia przeglądarki jest oprogramowanie typu adware. Takie niechciane dodatki wyświetlają na ekranie ogromne ilości niechcianych reklam, osadzają banery na stronach internetowych lub przekierowują na strony partnerskie. Od stycznia 2020 r. do czerwca 2022 r. eksperci z firmy Kaspersky zaobserwowali, że ponad 4,3 miliona unikalnych użytkowników zetknęło się z fraudowymi oprogramowaniami reklamowym podszywającymi się pod legalne rozszerzenia przeglądarek.
Najbardziej znane fraudowe rozszerzenia przeglądarek: Nigelthorn, DataSpii, FB Stealer
Nigelthorn - 2018 r
Atakujący rozpowszechniali szkodliwe oprogramowanie udając legalne rozszerzenie przeglądarki Chrome, które po zainstalowaniu wstrzykiwało złośliwy kod do przeglądarki ofiary, umożliwiając wykorzystanie jej sprzętu do wydobywania kryptowaluty. Ponad to program mógł też kraść poufne informacje, takie jak dane logowania i dane osobowe stwarzając poważne ryzyko dla prywatności i bezpieczeństwa użytkowników, którzy dodatkowo mogli zaobserwować na swoich sprzętach zmniejszoną wydajność systemu i zwiększone zużycie energii. Nigelthorn zdołał zainfekować tysiące użytkowników, zanim Google usunął złośliwe rozszerzenie z Chrome Web Store.
DataSpii
DataSpii to cały zbiór fraudowych rozszerzeń przeglądarki, głównie dla Chrome, pobrany przez miliony użytkowników. Te pozornie niewinne rozszerzenia, rzekomo umożliwiające poprawę produktywności czy zapewnienie bezpieczeństwa, w rzeczywistości zbierały dane użytkowników z alarmująca skuteczność. Po instalacji, rozszerzenia te wymagały szerokich uprawnień rzekomo niezbędnych do działania ich rozbudowanych funkcjonalności. Umożliwiło to oszustom nie tylko zdobycie danych wielu milionów użytkowników, a także wydobycie wrażliwych danych korporacyjnych, które następnie były przekazywane przez złożoną sieć usług stron trzecich.
FB Stealer
FB Stealer, który był jednym z zagrożeń analizowanych przez badaczy firmy Kaspersky, rozprzestrzeniał się głównie za pośrednictwem mało wiarygodnych witryn internetowych. Użytkownicy przekonani, że pobrali rozszerzenie Google Translator, w rzeczywistości otrzymali niebezpiecznego trojana – NullMixer, który samodzielnie instalował na urządzeniu narzędzie, którego zadaniem było wyodrębnienie plików cookies Facebooka i wysyłanie zawartych w nich danych na serwery atakujących. Dzięki temu oszuści mogli bez problemy zalogować się na konto ofiary na Facebooku, podszyć się pod niż i prosić jej znajomych o pieniądze (starając się wyłudzić jak najwięcej, zanim użytkownik odzyska dostęp do konta).
Jak rozpoznać, że rozszerzenie jest fałszywe?
Oczywiście nie wszystkie rozszerzenia przeglądarek są niebezpieczne, część z nich może nawet pomóc w zapewnieniu bezpieczeństwa. Jak twierdzi Anton V. Ivanov, senior security researcher w Kaspersky:
„(…) Niektóre rozszerzenia mogą nawet znacznie zwiększyć bezpieczeństwo urządzeń, na przykład managery haseł. O wiele ważniejsze jest, aby zwracać uwagę na to, jak renomowany i godny zaufania jest twórca oraz o jakie uprawnienia prosi rozszerzenie. Jeśli zastosujesz się do zaleceń dotyczących bezpiecznego korzystania z rozszerzeń przeglądarki, ryzyko napotkania jakichkolwiek zagrożeń będzie minimalne.”
Jak więc rozpoznać, że dane rozszerzenie jest fałszywe? Nie ma na to jednoznacznej recepty, bo takie złośliwe programy nie zostają w żaden sposób oznakowane, a fraudsterzy doszli do perfekcji w podszywaniu się pod inne, prawdziwe rozszerzenia. Powinno nas jednak zaalarmować, jeśli:
- brakuje witryny internetowej powiązanej z rozszerzeniem,
- brakuje informacji kontaktowych programisty,
- ostatnia aktualizacja miała miejsce dawno temu,
- rozszerzenie nie ma polityki prywatności,
- jest mało ocen użytkowników rozszerzenia albo są zbyt pochlebne, aby być prawdziwe,
- ogólna liczba ocen użytkowników jest niewielka,
- rozszerzenie nie pojawia się w żadnym oficjalnym sklepie,
- rozszerzenie oferuje nietypowy typ instalacji,
- rozszerzenie jest promowane w nie budzący zaufania sposób.