Sigurnosni stručnjaci iz tima Socket Threat Research otkrili su sofisticiranu mrežu od osam zlonamjernih proširenja za preglednik Firefox. Ova proširenja aktivno kradu OAuth tokene, lozinke i špijuniraju korisnike primjenom obmanjujućih taktika.
Ovo otkriće razotkriva koordiniranu kampanju koja iskorištava popularne naslove videoigara i uslužne aplikacije kako bi ugrozila sigurnost korisnika unutar ekosistema Firefoxa.
U početku je istraga započela s jednim zlonamjernim proširenjem nazvanim “Shell Shockers”, ali se brzo proširila kako bi otkrila cijelu mrežu lažnih proširenja za igre koje je pokrenuo prijetni akter mre1903. Ovaj kibernetički kriminalac, aktivan od lipnja 2018., sustavno je stvarao obmanjujuća proširenja koja su se predstavljala kao popularne igre, uključujući Little Alchemy 2, 1v1.LOL, Krunker io Game, Five Nights at Freddy’s i Bubble Spinner.
Ova zlonamjerna proširenja iskorištavaju povjerenje korisnika prikazujući se kao omiljene igre s milijunima igrača diljem svijeta. Međutim, umjesto pružanja stvarne funkcionalnosti igranja, ona odmah preusmjeravaju korisnike na web-stranice s kockarskim sadržajem i lažne stranice s upozorenjima o virusima tvrtke Apple nakon instalacije. Pristup koji koristi prijetni akter pokazuje koordiniranu kampanju osmišljenu za postizanje maksimalnog dosega uz izbjegavanje otkrivanja raspoređivanjem kroz više popularnih naslova igara.
Osim jednostavnih prijevara s preusmjeravanjem, istraživači su identificirali nekoliko proširenja koja primjenjuju sofisticirane tehnike napada. CalSyncMaster, koje se prikazuje kao legitimni alat za sinkronizaciju Google Kalendara, predstavlja najozbiljniju prijetnju u analizi. Ovo proširenje implementira napredne operacije krađe vjerodajnica putem OAuth protokola, kradući Google autentifikacijske tokene koji omogućuju kontinuirani pristup osjetljivim osobnim i poslovnim podacima. Zlonamjerni kod posebno cilja na API-je Google Kalendara, tražeći dozvole samo za čitanje koje omogućuju napadačima trajni uvid u korisnikove rasporede sastanaka, planove putovanja, poslovne aktivnosti i kontaktne informacije. Sigurnosni stručnjaci upozoravaju da arhitektura proširenja omogućuje lako eskaliranje opsega, potencijalno omogućujući manipulaciju događajima ili brisanje podataka putem jednostavnih ažuriranja.
Proširenje VPN Grab A Proxy Free, koje se reklamira kao VPN usluga usmjerena na privatnost, potajno prati korisnike umetanjem nevidljivih okvira za praćenje i usmjeravanjem sav Web prometa putem proxy poslužitelja pod kontrolom napadača. Ova konfiguracija omogućuje sveobuhvatni nadzor korisničkih aktivnosti, uključujući potencijalno presretanje prijavnih podataka, osobnih podataka i privatnih komunikacija. U međuvremenu, proširenje GimmeGimme cilja na europska prodajna mjesta kao što su bol.com i coolblue.nl, obećavajući funkcionalnost popisa želja dok potajno preusmjerava kupovne sesije putem partnerskih poveznica za praćenje. Korisnici nehotice ostvaruju prihod za napadače, a istovremeno im se uskraćuju obećane funkcionalnosti, što predstavlja jasno kršenje povjerenja korisnika i transparentnosti.
Ova otkrića naglašavaju širi trend u kibernetičkim prijetnjama. Proširenja preglednika postala su sve više favorizirani vektori napada zbog svog pouzdanog statusa, opsežnih dopuštenja i sposobnosti izvršavanja unutar sigurnosnih konteksta preglednika. Napredak od jednostavnih prijevara s preusmjeravanjem do krađe OAuth vjerodajnica pokazuje koliko se brzo te prijetnje razvijaju i skaliraju.
Sigurnosni stručnjaci preporučuju da korisnici redovito provjeravaju instalirana proširenja preglednika, uklanjajući ona koja zahtijevaju dopuštenja koja nadilaze njihovu navedenu funkcionalnost. Organizacije bi trebale implementirati popise dopuštenih proširenja u korporativnim okruženjima i nadzirati mrežni promet radi neočekivanih proxy konfiguracija ili sumnjivih vanjskih komunikacija. Tim Socket Threat Research naglašava da ove prijetnje zahtijevaju stalnu budnost i od strane pojedinačnih korisnika i organizacija. Kombinacija taktika socijalnog inženjeringa sa tehničkom sofisticiranošću čini ova proširenja posebno učinkovitima protiv neoprezni korisnika koji vjeruju poznatim imenima igara i obećanjima uslužnih programa. Korisnici bi trebali odmah pregledati svoja instalirana proširenja Firefoxa i ukloniti bilo koja koja odgovaraju identificiranim zlonamjernim aplikacijama kako bi zaštitili svoje osobne podatke i vjerodajnice za provjeru autentičnosti.