Bezpečnostní experti požiadali o ich odstránenie
Masívna koordinovaná kampaň zasiahla používateľov služieb Gmail, YouTube, ale aj Telegram a TikTok. Výskumníci odhalili koordinovaný útok, ktorý využíva rozšírenia pre prehliadač Google Chrome ako hlavný vektor kompromitácie účtov, upozorňuje BitDefender.
Bezpečnostná analýza tímu Socket Threat Research Team publikovaná 13. apríla odhalila celkovo 108 škodlivých rozšírení. Tie boli prepojené na jednotnú riadiacu infraštruktúru typu command-and-control, čo je typický znak organizovaných kybernetických operácií.
V čase zverejnenia mali tieto rozšírenia približne 20-tisíc aktívnych inštalácií, pričom najznepokojivejším faktom je, že mnohé z nich zostali dostupné aj po odhalení. Bezpečnostní experti už požiadali o ich odstránenie zo služby Chrome Web Store aj zo systému Google Safe Browsing.
Útok sa neopiera o jednu techniku, ale o široké spektrum mechanizmov, ktoré cielia na rôzne vrstvy zabezpečenia. Dominantnú úlohu zohráva zneužitie autentifikačného štandardu OAuth 2.0.
Viac ako polovica identifikovaných rozšírení bola navrhnutá tak, aby získala prístup k Google účtom používateľov prostredníctvom tokenov, ktoré umožňujú prihlásenie bez zadania hesla. V praxi to znamená, že útočník môže prevziať kontrolu nad účtom bez toho, aby poznal prihlasovacie údaje.
Ďalšia skupina rozšírení obsahovala zadné vrátka, ktoré umožňujú spúšťanie ľubovoľných webových adries pri štarte prehliadača. Ide o mimoriadne nebezpečný scenár, pretože takýto mechanizmus môže slúžiť na načítanie škodlivého kódu, phishingových stránok alebo ďalších exploitov bez vedomia používateľa.
Niektoré rozšírenia zas manipulovali bezpečnostné hlavičky webových stránok, čo im umožnilo obchádzať ochranné mechanizmy a vkladať reklamy či škodlivý obsah priamo do navštevovaných stránok.
Útočili viacerými spôsobmi
Z technického hľadiska zaujme aj spôsob exfiltrácie dát. Jeden z nástrojov dokázal odosielať relácie webového klienta Telegramu každých 15 sekúnd na servery útočníka. Iné rozšírenia injektovali skripty do každej navštívenej stránky, čím získavali prakticky neobmedzený prístup k dátam používateľa vrátane cookies, tokenov a obsahu formulárov.
V jednom prípade bol zachytený aj mechanizmus, ktorý presmerovával všetky prekladové požiadavky cez server útočníka, čím umožňoval monitorovanie aj manipuláciu prenášaných dát.
Celý incident opäť poukazuje na dlhodobý problém bezpečnosti rozšírení prehliadačov. Aj keď Google deklaruje viacúrovňovú kontrolu, od preverovania pred publikovaním až po priebežný monitoring, realita ukazuje, že škodlivý kód si dokáže nájsť cestu do oficiálnych distribučných kanálov. Používateľ síce môže byť upozornený na rizikové rozšírenia priamo v nastaveniach prehliadača, no tieto mechanizmy evidentne nedokážu zachytiť všetky hrozby včas.
Problém nie je izolovaný len na Chrome. Podobné incidenty sa v poslednom období objavili aj v prehliadači Mozilla Firefox, čo naznačuje širší trend zneužívania ekosystémov doplnkov naprieč platformami. Útočníci čoraz častejšie využívajú aj taktiku „supply chain attack“, keď odkúpia legitímne rozšírenie s existujúcou používateľskou základňou a následne doň implementujú škodlivý kód.
Z pohľadu používateľa ide o tichú, no mimoriadne efektívnu formu útoku. Rozšírenia majú často široké oprávnenia, ktoré im umožňujú čítať a upravovať obsah webových stránok, pristupovať k histórii prehliadania či spravovať sieťové požiadavky. V kombinácii s dôverou, ktorú im používatelia automaticky udeľujú, vzniká ideálny priestor pre zneužitie.
Prehľad rozšírení, ktoré sú napadnuté:
1. Sociálne siete a komunikácia (Weboví klienti)
-
Telegram Multi-account (obifanppcpchlehkjipahhphbcbjekfa) – Správa viacerých účtov Telegram.
-
Teleside (mdcfennpfgkngnibjbpnpaafcjnhcjno) – Webový klient pre Telegram.
-
YouSide (mmecpiobcdbjkaijljohghhpfgngpjmk) – YouTube v bočnom paneli.
-
SideYou (bfoofgelpmalhcmedaaeogahlmbkopfd) – Webový klient pre YouTube.
-
Web Client for TikTok (cbfhnceafaenchbefokkngcbnejached) – Prístup k TikToku cez prehliadač.
2. Nástroje a produktivita
-
Text Translation (ogogpebnagniggbnkbpjioobomdbmdcj) – Preklad textu.
-
Page Locker (ldmnhdllijbchflpbmnlgndfnlgmkgif) – Uzamknutie stránky.
-
Page Auto Refresh (lnajjhohknhgemncbaomjjjpmpdigedg) – Automatické obnovovanie stránok.
-
Clear Cache Plus (bgdkbjcdecedfoejdfgeafdodjgfohno) – Rýchle vymazanie vyrovnávacej pamäte.
-
WiFi SpeedTest (bpljfbcejldmgeoodnogeefaihjdgbam) – Meranie rýchlosti internetu.
-
Metal Calculator (ncpdkpcgmdhhnmcjgiiifdhefmekdcnf) – Kalkulačka pre kovy.
-
InterAlt (pkghgkfjhjghinikeanecbgjehojfhdg) – Pomocný nástroj (pravdepodobne alternatívny text/prístupnosť).
3. Kasíno a výherné automaty (Sloty)
Tento zoznam obsahuje desiatky tematických automatov, napríklad:
-
Sloty: Zeus Treasures, Aztec, The Gold Pot, Jurassic Giants, Book Of Magic, Ramses, Voodoo Magic, Christmas Eve, Columbus Voyage, Pirat Slot, 40 Imperial Crown, Gold of Egypt, Black Ninja a ďalšie.
-
Kartové hry a ruleta: American Roulette Royale, Best Blackjack, Three Card Poker, Baccarat, Caribbean Stud Poker, Pai Gow Poker, Video Poker (Jacks or Better, Deuces Wild).
-
Ostatné: Bingo, Keno, Dice King (kocky), Tarot Side Panel.
4. Športové a pretekárske hry
-
Futbal: Penalty Kicks, Goalkeeper Challenge, Flicking Soccer, 3D Soccer.
-
Preteky: Formula Rush Racing, Slot Car Racing, SkySpeedster, Watercraft Rush (vodné skútre), Car Rush, Premium Horse Racing (dostihy), Greyhound Racing (chrtie dostihy).
-
Ostatné športy: Rugby Rush, Hockey Shootout, Street Basketball, Master Chess (šach), Billiards Pro (biliard), Mini Golf World, Downhill Ski (lyžovanie), Swimming Pro (plávanie).
5. Arkády, logické a oddychové hry
-
Logické: Mahjong Deluxe, Master Checkers (dáma), Rail Maze Puzzle, Pyramid Solitaire, Straight 4 (pripomína Piškvorky).
-
Arkády: Snake (had), Tanks Game (tanky), Gold Miner 2, Frogtastic, Crypto Merge, Hidden Kitty Game, Whack ‚em All.
