Czyżbyśmy mieli do czynienia z nowym wektorem ataków cyberprzestępców? Już przyzwyczailiśmy się do tego, że malware rozpowszechnia się za pośrednictwem niezaktualizowanych systemów operacyjnych. Niektóre z nich potrafią przemycić się do oficjalnych sklepów aplikacji mobilnych. Tym razem malware przyszło do użytkowników wraz z aktualizacją popularnej wtyczki Web Developer, która dostępna jest w Chrome Web Store. Korzysta z niej ponad milion użytkowników.
Cyberprzestępcy zastosowali tutaj dość ciekawą metodę ataku. Swoje wysiłki skupili na Chrisie Pedericku, który jest autorem wtyczki Web Developer dla Chrome. Padł on ofiarą phishingu i w ten sposób jego konto Google dostało się w ręce napastników. Cyberprzestępcy wypuścili aktualizację wtyczki (wersja 0.4.9), która zawierała złośliwy kod. Oczywiście Chrome od razu automatycznie pobrało aktualizację u miliona użytkowników oraz uruchamiając złośliwy kod. Wygląda na to, że cyberprzestępcy ograniczyli się jedynie do wyświetlania reklam, na których oczywiście zarabiali. Reakcja dewelopera była szybka i po kilku godzinach pojawiła się wersja 0.5.0 wtyczki Web Developer, która nie posiadała już złośliwego kodu. Wersje wtyczki dla pozostałych przeglądarek (Firefox oraz Opera) nie zostały zainfekowane.
Version 0.5 of Web Developer for Chrome is now live which removes the compromised code. Please update immediately.
— Chris Pederick (@chrispederick) 2 sierpnia 2017
Twórca wtyczki Web Developer dla Chrome przeprosił i przyznał się do błędu.
Jego konto Google nie było zabezpieczone za pomocą weryfikacji dwuetapowej. Chris Pederick opisał wszystko na swoim blogu. Gdyby tak było, to cyberprzestępcy nie mogliby zalogować się na przechwycone konto. Co ciekawe Google nie wymusza dodatkowych zabezpieczeń na kontach autorów wtyczek. Dlatego też są one łakomym kąskiem dla przestępców. Podobna sytuacja spotkała wtyczkę Copyfish. Jej autorzy również dokładnie opisali całą historię. Być może po tych wydarzeniach Google zmieni swoją politykę bezpieczeństwa.
I stupidly fell for a phishing attack on my Google account ?
— Chris Pederick (@chrispederick) 2 sierpnia 2017
Serwery dostarczające aktualizację są dość ciekawym wektorem ataku cyberprzestępców. Zainstalowane przez nas aplikacje bezgranicznie ufają swoim mechanizmom aktualizacji. Właśnie ta strategia została użyta przy niedawno głośnym ataku notPetya. Wtedy zaatakowane zostały serwery aplikacji M.E.doc, która jest używana na Ukrainie do rozliczeń podatkowych. Podmieniając plik z aktualizacją, przestępcy dokonali jednego z najgłośniejszych ataków tego roku.
Źródło: The INQUIRER
