Virus 3 dny vyčkává, až potom zaútočí. Napadl miliony počítačů, lidé si ho nevědomky přidávají sami
Lukáš Altman
Lukáše psaní naplňovalo už od dětství, že se tím bude živit si uvědomil ještě jako student v roce 2013. V tu dobu už si několika dílčími texty začal přivydělávat. Jeho profesionální kariéra začala o tři roky později, kdy se stal externím redaktorem pro portál Alza.cz. Od té doby spolupracoval s řadou firem různých rozsahů a dokonce založil několik vlastních projektů, včetně Mobify.cz, který časem přešel pod společnost abcMedia Network. Nyní se Lukáš řadí mezi nejvlivnější české redaktory v oblasti elektroniky.
Zdánlivě nevinná rozšíření do prohlížeče, slibující lepší práci s videohovory nebo rychlejší stahování obsahu, si lidé přidávají sami. Přitom se mohou změnit v tichého špiona.
Uživatel si do prohlížeče přidá doplněk, který má usnadnit práci, zlepšit některé funkce, případně pomoci se stahováním videí. Redakce Mobify si ale všimla znepokojivého trendu. Některá rozšíření jsou totiž naprogramovaná tak, aby se několik dní chovala neškodně, a teprve poté spustila škodlivou aktivitu. Tímto stylem byly napadeny už miliony počítačů po světě.
Nejnebezpečnější je tzv. časovaná bomba
Za sérií kampaní označovaných jako ShadyPanda, GhostPoster a nejnověji DarkSpectre stojí jeden dlouhodobě aktivní útočník, kterého bezpečnostní experti sledují už několik let. Celkem tyto kampaně za více než sedm let ovlivnily už přes 8,8 milionu uživatelů, kteří používají prohlížeče Chrome, Edge a Firefox, informoval KOI.
Zvlášť nebezpečná je pak aktivace v určitou dobu. Některá rozšíření obsahují „časovanou bombu“, tedy škodlivý kód, který čeká od instalace ještě třeba 3 dny. Díky tomu projde kontrolami oficiálních obchodů s doplňky a získá si důvěru uživatelů. Až poté začne krást data, manipulovat s vyhledáváním či vkládat podvodné reklamy.
Miliony obětí a rozšíření, která vypadají důvěryhodně
Jen kampaň ShadyPanda zasáhla dle expertů nejméně 5,6 milionu lidí. Některá rozšíření byla v obchodech celé roky a škodlivá aktualizace přišla až po opravdu dlouhé době, kdy už měla tisíce pozitivních recenzí. Další část ekosystému tvoří takzvaná „spící“ rozšíření. Ta zatím nic nedělají, ale čekají, až o jejich aktivaci rozhodne útočník.
Novější kampaň označovaná jako Zoom Stealer jde ještě dál. Zaměřuje se na firemní schůzky a webináře. Rozšíření sbírají odkazy na on-line meetingy, včetně hesel, ID schůzek, témat, časů konání i seznamů účastníků. Útočník tak získá interní přehled o firmách, partnerech i strategických tématech, uvádí theHackerNews.
Dle expertů nejde o nahodilé útoky, infrastruktura je promyšlená a určená ke sběru dat. Ta mohou být prodávána dál, využitá třeba k vydírání nebo při sofistikovaných útocích. Nejděsivější je, že uživatelé dostanou přesně to, co rozšíření slibuje, a tak nemají důvod pojmout podezření.
Proti podobným hrozbám je jen pár způsobů obrany
V ideálním případě instalujte jen rozšíření, která skutečně potřebujete, a pravidelně kontrolujte jejich oprávnění. Pokud doplněk vyžaduje přístup k desítkám služeb, které zjevně nesouvisí s jeho funkcí, je to varování. Pomůže také kvalitní bezpečnostní software a pravidelné aktualizace prohlížeče i operačního systému.
Zdroje
Autorský komentář Lukáše Altmana, Oficiální stránky theHackerNews, Oficiální stránky KOI