Acești 108 extensii Chrome malițioase fură datele de la Google și Telegram
Dacă folosești Google Chrome, fii atent: s-ar putea să ai extensii malițioase instalate fără să știi. Potrivit lifehacker.com, cercetătorii în securitate cibernetică din echipa de cercetare a amenințărilor Socket au identificat 108 extensii disponibile în Google Chrome care fură informații precum acreditivele de autentificare, ID-urile utilizatorilor și datele de navigare.
👉 Coordonarea extensiilor malițioase și numărul instalărilor
Toate cele 108 extensii trimit aceste informații către servere controlate de un singur operator, deși extensiile sunt publicate de cinci dezvoltatori diferiți (GameGen, InterAlt, Rodeo Games, SideGames și Yana Project). Aceste extensii au în total aproximativ 20.000 de instalări, ceea ce nu constituie o bază masivă de ținte având în vedere cei 3,62 miliarde de utilizatori ai Chrome, dar rămâne o preocupare, având în vedere numărul expansiv de extensii implicate în această schemă coordonată.
👉 Tipuri și comportamente malițioase ale extensiilor
Echipa Socket a identificat că extensiile sunt publicate sub câteva categorii cheie: clienți pentru Telegram care oferă o interfață de chat funcțională în browser; jocuri de tip slot și Keno care oferă o experiență de gambling; „îmbunătățiri” pentru YouTube și TikTok; extensii de utilitate pagină; și un instrument de traducere de text. Toate extensiile par să ofere serviciile publicitate pe Chrome Web Store, în timp ce rulează programe malițioase în fundal.
Utilizatorii care instalează clientul Telegram ar putea avea o experiență de chat funcțională, dar sub suprafață, extensia fură sesiunile web ale utilizatorului Telegram la fiecare 15 secunde, ceea ce compromite toate mesajele, contactele și conturile asociate. 54 dintre extensii fură identitatea contului Google atunci când utilizatorul apasă pe opțiunea „autentificare”, ceea ce duce la scurgerea adresei de email, numelui și imaginii de profil utilizatorului. (Notabil, schema nu oferă operatorului acces la contul Google al utilizatorului.) Patruzeci și cinci dintre extensii au o „ușă din spate” care poate deschide orice URL dorește operatorul în browserul utilizatorului.
Seventy-eight dintre extensii pot injecta cod HTML în browserul utilizatorului. Cinci extensii pot elimina măsurile de securitate de pe YouTube și TikTok pentru a injecta reclame de gambling și suprapuneri pe site-uri. Și atunci când te înscrii pentru instrumentul de traducere de text, acesta trimite adresa ta de email și numele complet către server, precum și orice traducere realizată cu extensia.
Primul lucru pe care ar trebui să-l faci este să verifici dacă ai instalate vreo extensie din cele menționate în browser. Unele dintre cele mai populare extensii identificate includ „Telegram Multi-account”, „Black Beard Slot Machine”, „Page Locker” și „InterAlt”, dar poți găsi o listă completă a extensiilor, inclusiv ID-urile lor de extensie Chrome, în raportul publicat de Socket.
Dacă ai folosit Telegram Multi-account, Socket recomandă să te deloghezi din toate sesiunile web Telegram folosind aplicația Telegram. Poți găsi opțiunea în Setări > Dispozitive > Termină toate celelalte sesiuni. Dacă te-ai autentificat cu contul tău Google la oricare dintre aceste extensii, presupune că identitatea ta a fost expusă și verifică permisiunile aplicațiilor de terță parte aici. Din păcate, dacă ai folosit instrumentul de traducere de text cu emailul tău, numele și adresa ta de email au fost compromise.
Pe viitor, exercită o precauție extremă înainte de a instala extensii noi în browserul tău. Deși Chrome Web Store ar trebui să conțină doar extensii „sigure”, programele malițioase își găsesc drumul pe piață. Revizuiește întotdeauna fiecare listare cu atenție înainte de a instala extensia: dacă extensia cere informații sensibile, nu are multe recenzii sau listarea este slab construită, cel mai bine este să o eviți complet.