Czyżbyśmy mieli do czynienia z nowym wektorem ataków cyberprzestępców? Już przyzwyczailiśmy się do tego, że malware rozpowszechnia się za pośrednictwem niezaktualizowanych systemów operacyjnych. Niektóre z nich potrafią przemycić się do oficjalnych sklepów aplikacji mobilnych. Tym razem malware przyszło do użytkowników wraz z aktualizacją popularnej wtyczki Web Developer, która dostępna jest w Chrome Web Store. Korzysta z niej ponad milion użytkowników.

Cyberprzestępcy zastosowali tutaj dość ciekawą metodę ataku. Swoje wysiłki skupili na Chrisie Pedericku, który jest autorem wtyczki Web Developer dla Chrome. Padł on ofiarą phishingu i w ten sposób jego konto Google dostało się w ręce napastników. Cyberprzestępcy wypuścili aktualizację wtyczki (wersja 0.4.9), która zawierała złośliwy kod. Oczywiście Chrome od razu automatycznie pobrało aktualizację u miliona użytkowników oraz uruchamiając złośliwy kod. Wygląda na to, że cyberprzestępcy ograniczyli się jedynie do wyświetlania reklam, na których oczywiście zarabiali. Reakcja dewelopera była szybka i po kilku godzinach pojawiła się wersja 0.5.0 wtyczki Web Developer, która nie posiadała już złośliwego kodu. Wersje wtyczki dla pozostałych przeglądarek (Firefox oraz Opera) nie zostały zainfekowane.

Twórca wtyczki Web Developer dla Chrome przeprosił i przyznał się do błędu.

Jego konto Google nie było zabezpieczone za pomocą weryfikacji dwuetapowej. Chris Pederick opisał wszystko na swoim blogu. Gdyby tak było, to cyberprzestępcy nie mogliby zalogować się na przechwycone konto. Co ciekawe Google nie wymusza dodatkowych zabezpieczeń na kontach autorów wtyczek. Dlatego też są one łakomym kąskiem dla przestępców. Podobna sytuacja spotkała wtyczkę Copyfish. Jej autorzy również dokładnie opisali całą historię. Być może po tych wydarzeniach Google zmieni swoją politykę bezpieczeństwa.

Serwery dostarczające aktualizację są dość ciekawym wektorem ataku cyberprzestępców. Zainstalowane przez nas aplikacje bezgranicznie ufają swoim mechanizmom aktualizacji. Właśnie ta strategia została użyta przy niedawno głośnym ataku notPetya. Wtedy zaatakowane zostały serwery aplikacji M.E.doc, która jest używana na Ukrainie do rozliczeń podatkowych. Podmieniając plik z aktualizacją, przestępcy dokonali jednego z najgłośniejszych ataków tego roku.

Źródło: The INQUIRER

PJ
Przemek jest mózgiem operacyjnym SpeedTest.pl. Studiował na Politechnice Wrocławskiej elektronikę i telekomunikację. Zarządza projektami IT, relacjami z klientami oraz nadzoruje procesy rozwoju. Prywatnie zaangażowany w rodzinę, wsparcie różnych działalności charytatywnych i projekty ekstremalne.