Telegram Group & Telegram Channel
😷 «Спящая красавица» в расширениях браузера 🧊 Chrome

ИБ-компания LayerX опубликовала исследование, где раскрывает подробно информацию о сети вредоносных расширений для браузера Google Chrome. Расширения маскируются под безобидные инструменты, например, для управления звуком и скачаны почти у 1,5 миллионов пользователей по всему миру. Действуют они по принципу "спящих агентов" в духе сказки «Спящая красавица», готовые в час Х проснуться и выполнить вредоносные команды.

Самое крупное из них, 🦠«Volume Max – ⚠️Ultimate Sound Booster», установлено у миллиона пользователей и до сих пор доступно в официальном магазине Chrome Web Store [на момент публикации исследования].

🔊Атакующие обещают пользователю расширение для "улучшения звука" в браузере.

Эксперты LayerX обнаружили как минимум 4 популярных расширения, которые, несмотря на кажущуюся легитимность, содержат скрытую инфраструктуру для проведения потенциальных кибератак.

Все расширения используют идентичные фрагменты кода, которые ранее были замечены в других вредоносных программах, уже удаленных из Chrome Web Store. В частности, упоминается класс ExtStatTracker, который был частью печально известного расширения ReadBee. Компонент способен в фоновом режиме отслеживать действия пользователя (установку, удаление), отправлять зашифрованные данные на удаленный сервер и, что самое опасное, открывать любые веб-страницы в новых вкладках по команде извне.

Расширения способны загружать конфигурационные файлы с удаленных серверов. Злоумышленники могут активировать вредоносные функции, даже не обновляя само расширение, и таким образом обойти стандартные проверки безопасности магазина Chrome. Например, команды могут включать перенаправление трафика, загрузку вирусов или кражу данных.

Установлено, что расширения обмениваются данными с доменами, которые уже числятся в базах вредоносных ресурсов, например, francjohn[.]com. Другие домены, с которыми они связываются, размещены на IP-адресах, ранее замеченных в распространении зловредов.

Для сокрытия своей деятельности код использует шифрование и обфускацию через Base64, что усложняет анализ их поведения.

Исследование LayerX подчеркивает новую, тревожную тенденцию в мире киберугроз. Создание сети «спящих» расширений вполне простой и эффективный способ получить контроль над миллионами устройств в отличие от создания ботнетов из взломанных IoT-устройств. Браузерное расширение предоставляет прямой доступ к самой ценной информации: файлам cookie, паролям, истории посещений и даже содержимому веб-страниц.

❗️ Несмотря на то, что некоторые из этих расширений были отмечены как вредоносные на платформе VirusTotal, они по-прежнему доступны в Chrome Web Store.

Эксперты призывают пользователей с осторожностью относиться к установке браузерных расширений.

@Russian_OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM



group-telegram.com/Russian_OSINT/5652
Create:
Last Update:

😷 «Спящая красавица» в расширениях браузера 🧊 Chrome

ИБ-компания LayerX опубликовала исследование, где раскрывает подробно информацию о сети вредоносных расширений для браузера Google Chrome. Расширения маскируются под безобидные инструменты, например, для управления звуком и скачаны почти у 1,5 миллионов пользователей по всему миру. Действуют они по принципу "спящих агентов" в духе сказки «Спящая красавица», готовые в час Х проснуться и выполнить вредоносные команды.

Самое крупное из них, 🦠«Volume Max – ⚠️Ultimate Sound Booster», установлено у миллиона пользователей и до сих пор доступно в официальном магазине Chrome Web Store [на момент публикации исследования].

🔊Атакующие обещают пользователю расширение для "улучшения звука" в браузере.

Эксперты LayerX обнаружили как минимум 4 популярных расширения, которые, несмотря на кажущуюся легитимность, содержат скрытую инфраструктуру для проведения потенциальных кибератак.

Все расширения используют идентичные фрагменты кода, которые ранее были замечены в других вредоносных программах, уже удаленных из Chrome Web Store. В частности, упоминается класс ExtStatTracker, который был частью печально известного расширения ReadBee. Компонент способен в фоновом режиме отслеживать действия пользователя (установку, удаление), отправлять зашифрованные данные на удаленный сервер и, что самое опасное, открывать любые веб-страницы в новых вкладках по команде извне.

Расширения способны загружать конфигурационные файлы с удаленных серверов. Злоумышленники могут активировать вредоносные функции, даже не обновляя само расширение, и таким образом обойти стандартные проверки безопасности магазина Chrome. Например, команды могут включать перенаправление трафика, загрузку вирусов или кражу данных.

Установлено, что расширения обмениваются данными с доменами, которые уже числятся в базах вредоносных ресурсов, например, francjohn[.]com. Другие домены, с которыми они связываются, размещены на IP-адресах, ранее замеченных в распространении зловредов.

Для сокрытия своей деятельности код использует шифрование и обфускацию через Base64, что усложняет анализ их поведения.

Исследование LayerX подчеркивает новую, тревожную тенденцию в мире киберугроз. Создание сети «спящих» расширений вполне простой и эффективный способ получить контроль над миллионами устройств в отличие от создания ботнетов из взломанных IoT-устройств. Браузерное расширение предоставляет прямой доступ к самой ценной информации: файлам cookie, паролям, истории посещений и даже содержимому веб-страниц.

❗️ Несмотря на то, что некоторые из этих расширений были отмечены как вредоносные на платформе VirusTotal, они по-прежнему доступны в Chrome Web Store.

Эксперты призывают пользователей с осторожностью относиться к установке браузерных расширений.

@Russian_OSINT

BY Russian OSINT




Share with your friend now:
group-telegram.com/Russian_OSINT/5652

View MORE
Open in Telegram


Telegram | DID YOU KNOW?

Date: |

Emerson Brooking, a disinformation expert at the Atlantic Council's Digital Forensic Research Lab, said: "Back in the Wild West period of content moderation, like 2014 or 2015, maybe they could have gotten away with it, but it stands in marked contrast with how other companies run themselves today." Russian President Vladimir Putin launched Russia's invasion of Ukraine in the early-morning hours of February 24, targeting several key cities with military strikes. Investors took profits on Friday while they could ahead of the weekend, explained Tom Essaye, founder of Sevens Report Research. Saturday and Sunday could easily bring unfortunate news on the war front—and traders would rather be able to sell any recent winnings at Friday’s earlier prices than wait for a potentially lower price at Monday’s open. But because group chats and the channel features are not end-to-end encrypted, Galperin said user privacy is potentially under threat. Given the pro-privacy stance of the platform, it’s taken as a given that it’ll be used for a number of reasons, not all of them good. And Telegram has been attached to a fair few scandals related to terrorism, sexual exploitation and crime. Back in 2015, Vox described Telegram as “ISIS’ app of choice,” saying that the platform’s real use is the ability to use channels to distribute material to large groups at once. Telegram has acted to remove public channels affiliated with terrorism, but Pavel Durov reiterated that he had no business snooping on private conversations.
from us


Telegram Russian OSINT
FROM American