Sofisticirana kampanja zlonamjernog softvera zarazila je više od 1,7 miliona korisnika Chromea putem jedanaest naizgled legitimnih proširenja za pretraživač, od kojih su sva nosila Googleovu potvrdu i imala istaknuto mjesto u Chrome Web Storeu. Kampanja pod nazivom “Malicious11”, koju su otkrili istraživači sigurnosti iz Koi Security, predstavlja jednu od najvećih operacija preotimanja pretraživača ikada zabilježenih, eksploatisući same signale povjerenja na koje se korisnici oslanjaju pri identifikaciji sigurnih proširenja.
**Savršena operacija trojanskog konja**
Zlonamjerna proširenja predstavljala su se kao popularni alati za produktivnost i zabavu u različitim kategorijama, uključujući tastature s emojijima, vremenske prognoze, kontrolere brzine video zapisa, VPN proxyje za Discord i TikTok, tamne teme, pojačivače zvuka i deblokatore YouTubea. Ono što je ovu kampanju učinilo posebno lukavom jest to što je svako proširenje isporučilo upravo ono što je obećavalo, istovremeno implementirajući sofisticirane mogućnosti nadzora i preotimanja.
Istraga je započela kada su istraživači analizirali proširenje “Color Picker, Eyedropper — Geco colorpick”, s više od 100.000 instalacija i preko 800 recenzija. Unatoč tome što se činilo potpuno legitimnim i održavalo potvrđeni status, proširenje je potajno otimalo korisničke pretraživače, prateći svaku posjetu web stranici i održavajući upornu pozadinu za komandovanje i kontrolu.
Možda je najzabrinjavajuće kako je zlonamjerni softver implementiran. Ovo nisu bila zlonamjerna proširenja od prvog dana – radila su legitimno godinama prije nego što su postala zlonamjerna putem ažuriranja verzija. Kôd svakog proširenja ostao je čist, ponekad godinama, prije nego što je zlonamjerni softver implementiran kroz automatska ažuriranja koja su se tiho instalirala za više od 1,7 miliona korisnika.
“Zbog načina na koji Google obrađuje ažuriranja proširenja za pretraživače, ove verzije se automatski instaliraju tiho,” primijetili su istraživači. “Nema krađe identiteta. Nema socijalnog inženjeringa. Samo povjerena proširenja s tihim povećanjem verzije.”
**Sofisticirano preotimanje pretraživača**
Zlonamjerni softver implementira sofisticirani mehanizam preotimanja pretraživača koji se aktivira svaki put kada korisnici navigiraju na novu stranicu. Sakriveno u pozadinskom servisnom radniku svakog proširenja nalazi se kôd koji nadzire svu aktivnost kartica, snimajući URL-ove i šaljući ih udaljenim serverima zajedno s jedinstvenim identifikatorima za praćenje.
Ovo stvara ogromnu trajnu mogućnost “čovjeka u sredini” koja se može iskoristiti u bilo kojem trenutku. Na primjer, korisnici koji kliknu na pozivnice za Zoom sastanke mogu biti preusmjereni na lažne stranice koje tvrde da trebaju preuzeti “kritična ažuriranja”, ili bankarske sesije mogu biti presretnute i preusmjerene na savršene replike hostirane na serverima napadača.
Kampanja Malicious11 razotkriva sistemske propuste u sigurnosti tržišta. Googleov proces verifikacije nije uspio otkriti sofisticirani zlonamjerni softver u jedanaest različitih proširenja, umjesto toga promovirajući nekoliko putem znački za verifikaciju i istaknutog plasmana. Napadači su uspješno iskoristili svaki signal povjerenja na koji se korisnici oslanjaju – značke za verifikaciju, broj instalacija, istaknuti plasman, godine legitimnog rada i pozitivne recenzije.
**Odmah potrebne mjere**
Korisnici bi trebali odmah ukloniti sva pogođena proširenja, očistiti podatke pretraživača kako bi uklonili pohranjene identifikatore za praćenje, pokrenuti potpune sigurnosne skenove sistema i nadzirati račune za sumnjivu aktivnost. Incident naglašava hitnu potrebu za poboljšanim sigurnosnim mehanizmima tržišta kako se prijetnje razvijaju izvan pojedinačnih napada kako bi se stvorila sveobuhvatna infrastruktura koja može ostati uspavana godinama prije aktivacije.
Ova kampanja predstavlja prijelomni trenutak u sigurnosti proširenja za pretraživače, pokazujući kako je trenutni sigurnosni model tržišta fundamentalno pokvaren.
