Sigurnosni istraživači tima Socket Threat Research otkrili su sofisticiranu mrežu od osam zlonamjernih proširenja za Firefox, koja aktivno kradu OAuth tokene, lozinke i špijuniraju korisnike putem obmanjujućih taktika.
Ovo otkriće pokazuje koordiniranu kampanju koja iskorištava popularne igre i uslužne aplikacije za kompromitovanje sigurnosti korisnika širom Firefox ekosistema.
Istraga je prvobitno započela s jednim zlonamjernim proširenjem pod nazivom „Shell Shockers“, ali se brzo proširila kako bi otkrila cijelu mrežu lažnih proširenja za igre kojima upravlja prijetnja pod imenom mre1903.
Ovaj kibernetički kriminalac, aktivan od juna 2018., sustavno je kreirao lažna proširenja koja se predstavljaju kao popularne igre, uključujući Little Alchemy 2, 1v1.LOL, Krunker io Game, Five Nights at Freddy’s i Bubble Spinner.
Ova zlonamjerna proširenja iskorištavaju povjerenje korisnika lažno se predstavljajući kao omiljene igre s milijunima igrača širom svijeta.
Međutim, umjesto pružanja stvarne funkcionalnosti za igre, ona odmah preusmjeravaju korisnike na kockarske web stranice i lažne stranice s upozorenjima o virusima Applea nakon instalacije.
Pristup ove prijetnje pokazuje koordiniranu kampanju osmišljenu za maksimiziranje dosega, istovremeno izbjegavajući otkrivanje kroz distribuirano postavljanje preko više popularnih naslova igara.
Osim jednostavnih preusmjeravanja, istraživači su identificirali nekoliko proširenja koja koriste sofisticirane napadačke tehnike. CalSyncMaster, koji se predstavlja kao legitimni alat za sinkronizaciju Google Kalendara, predstavlja najozbiljniju prijetnju u analizi.
Ovo proširenje implementira napredne operacije krađe OAuth vjerodajnica, kradući Google autentifikacijske tokene koji pružaju trajni pristup osjetljivim osobnim i poslovnim podacima.
Zlonamjerni kod posebno cilja na API-je Google Kalendara, tražeći dozvole samo za čitanje koje omogućuju napadačima trajni uvid u korisnikove rasporede sastanaka, planove putovanja, poslovne aktivnosti i kontakt informacije.
Stručnjaci za sigurnost upozoravaju da arhitektura proširenja omogućuje jednostavnu eskalaciju opsega, potencijalno omogućavajući manipulaciju ili brisanje podataka jednostavnim ažuriranjima.
Proširenje VPN Grab A Proxy Free, koje se reklamira kao VPN usluga usmjerena na privatnost, tajno prati korisnike ubacivanjem nevidljivih ifrejmova za praćenje i usmjeravanjem svih mrežnih prometa kroz proxyje pod kontrolom napadača.
Ova konfiguracija omogućuje sveobuhvatni nadzor korisničkih aktivnosti, uključujući potencijalno presretanje vjerodajnica za prijavu, osobnih podataka i privatnih komunikacija.
U međuvremenu, proširenje GimmeGimme cilja europske stranice za kupovinu poput bol.com i coolblue.nl, obećavajući funkcionalnost liste želja, a pritom tajno preusmjerava kupovne sesije putem affiliate veza za praćenje.
Korisnici nesvjesno generiraju prihod za napadače, dok im se uskraćuju obećane značajke, što predstavlja jasno kršenje povjerenja i transparentnosti korisnika.
Ova otkrića naglašavaju širi trend u kibernetičkim prijetnjama. Proširenja preglednika postaju sve više omiljeni vektori napada zbog svog povjerenog statusa, proširenih dopuštenja i mogućnosti izvršavanja unutar sigurnosnih konteksta preglednika.
Napredak od jednostavnih preusmjeravanja do krađe OAuth vjerodajnica pokazuje kako se ove prijetnje brzo razvijaju i skaliraju.
Stručnjaci za sigurnost preporučuju korisnicima da redovito provjeravaju instalirana proširenja preglednika, uklanjajući sva ona koja zahtijevaju dozvole koje nadilaze njihovu navedenu funkcionalnost.
Organizacije bi trebale implementirati popise dopuštenih proširenja u korporativnim okruženjima i nadzirati mrežni promet zbog neočekivanih konfiguracija proxyja ili sumnjivih vanjskih komunikacija.
Tim Socket Threat Research naglašava da ove prijetnje zahtijevaju stalnu budnost i od strane pojedinačnih korisnika i organizacija.
Kombinacija taktika socijalnog inženjeringa s tehničkom sofisticiranošću čini ova proširenja posebno učinkovitima protiv neoprezniih korisnika koji vjeruju poznatim nazivima igara i obećanjima uslužnih programa.
Korisnici bi trebali odmah pregledati svoja instalirana proširenja za Firefox i ukloniti sva ona koja odgovaraju identificiranim zlonamjernim aplikacijama kako bi zaštitili svoje osobne podatke i vjerodajnice za autentifikaciju.
