Lidé běžně užívají funkce, které jim přes Google Chrome kradou údaje, ani o tom neví

Lukáš Altman
Lukáš Altman
Profil autora
800 článků

Lukáše psaní naplňovalo už od dětství, že se tím bude živit si uvědomil ještě jako student v roce 2013. V tu dobu už si několika dílčími texty začal přivydělávat. Jeho profesionální kariéra začala o tři roky později, kdy se stal externím redaktorem pro portál Alza.cz. Od té doby spolupracoval s řadou firem různých rozsahů a dokonce založil několik vlastních projektů, včetně Mobify.cz, který časem přešel pod společnost abcMedia Network. Nyní se Lukáš řadí mezi nejvlivnější české redaktory v oblasti elektroniky.

Škodlivá rozšíření pro Chrome se maskují jako nástroje pro firemní správu a HR systémy, ale ve skutečnosti kradou přihlašovací údaje a umožňují útočníkům převzít kontrolu nad účty.

Google Chrome

Odborníci objevili 5 nových rozšíření pro Google Chrome, která působí jako legitimní nástroje, ale ve skutečnosti kradou přihlašovací údaje. Redakce Mobify zjistila, že podobné doplňky jsou stále dostupné na webech třetích stran, i když byly odstraněny z oficiálního obchodu Chrome. Po instalaci se skrývají, přitom sbírají soubory cookie a umožňují útočníkům získat kontrolu nad účtem.

Z obchodu Chrome byly odstraněny doplňky pro Workday, NetSuite či SuccessFactors, i když z alternativních webů je stále možné je stáhnout. Třeba DataByCloud 1 a 2 nebo DataByCloud Access požadují oprávnění k přístupu ke cookie, správě skriptů a úložišti. Každých 60 sekund posílají sesbírané soubory na server útočníků. Takto lze obejít dvoufázové ověření a převzít účet oběti.

Doplněk Tool Access 11 blokuje přístup k administrativním stránkám, včetně správy ověřování, IP adres nebo relací, takže nejde zasáhnout proti neoprávněnému přístupu. DataByCloud 2 rozšiřuje funkce blokování a zasahuje do správy zařízení 2FA, změny hesel a protokolů auditů. Obě rozšíření navíc šifrují komunikaci s útočníkovým serverem (C2), což ztěžuje jejich detekování.

Software Access je asi nejzrádnější. Kromě toto, že krade soubory cookie, umožňuje třetí straně vložit tyto cookie soubory přímo do prohlížeče a převzít relaci uživatele. Funkce pro ochranu vstupních polí heslem brání oběti zjistit, že její údaje jsou sledovány. Takto může útočník získat přístup k firemním datům a přihlašovacím informacím, aniž by byl odhalen, popsal theHackerNews.

Koordinovaná kampaň i přes jiné dodavatele

Dle bezpečnostního výzkumníka Socketu Kush Pandyi je patrné, že všech 5 rozšíření využívá podobný seznam 23 bezpečnostních nástrojů pro Chrome, aby ověřily, zda jsou v zařízení monitorovací doplňky, a zabránily jejich zásahu. Vypadá to na koordinovanou operaci, i když jsou rozšíření publikována pod různými vydavateli.

Podle nás útočníci záměrně kombinují krádež souborů cookie, blokování administrativních stránek a přímý únos relace, aby vytvořili situaci, kde běžné bezpečnostní zásahy selhávají. Uživatelé často nezpozorují, že jejich údaje mizí, dokud se nepokusí provést změny v účtu nebo nepřijdou o přístup.

Co dělat, pokud jste nainstalovali tato rozšíření?

Pokud jste si některé z rozšíření nainstalovali, doporučujeme:

  • Ihned je ze svého prohlížeče odstranit
  • Změnit hesla ke všem zasaženým účtům
  • Zkontrolovat historii přihlášení a zařízení pro známky neoprávněného přístupu
  • Aktivovat dvoufázové ověření, pokud není již nastaveno

Dodatečně doporučujeme pravidelně kontrolovat, zda se v Chromu nenachází podezřelá rozšíření a stahovat doplňky pouze z oficiálního obchodu, aby se minimalizovalo riziko.

Zdroje

Autorský komentář Lukáše Altmana, Oficiální stránky theHackerNews, Oficiální stránky Socket

Líbí se vám tento článek? Tak pojďte diskutovat.

Diskuze 0

Copyright © 2016-2024 abcMedia Network, s.r.o.
Obsah je chráněn autorským právem. Jakékoli užití včetně publikování nebo jiného šíření obsahu je bez písemného souhlasu zakázáno.