Atenție la extensiile Chrome malițioase care livrează arhive ZIP periculoase

Extensii Chrome malițioase pot pune în pericol semnificativ utilizatorii compromițând informațiile personale și chiar manipulând traficul web. Unele extensii malițioase rămân nedetectate perioade îndelungate, în principal din cauza unei moderări inadecvate de către Chrome Web Store.

Cercetătorii de la eSentire’s Threat Response Unit (TRU) au identificat recent o extensie Chrome malițioasă care livrează arhive ZIP periculoase. Această extensie a fost concepută pentru a interacționa cu conturile de criptomonede pe platforme precum Facebook, Coinbase și Google Pay.

TL;DR

• Extensiile Chrome malițioase pot compromite datele personale și manipula traficul web.
• TRU de la eSentire a descoperit o extensie malițioasă care livrează arhive ZIP periculoase.
• Extensia interacționează cu conturi de criptomonede și manipulează echilibrul conturilor.
• Recomandări cheie: utilizarea soluțiilor EDR, instruire de conștientizare phishing, prevenirea execuției automate a scripturilor.

Extensia Chrome malițioasă și arhivele ZIP periculoase

TRU de la eSentire a descoperit în august 2024 un atac malware sofisticat care implica două elemente malițioase, un stealer LummaC2 și o extensie Google Chrome. Atacul începea cu un download drive-by al unui fișier ZIP malițios numit „x64x32installer___.zip”, care conținea un fișier MSI.

Fișierul MSI stabilește o comunicare cu un server pentru a obține o parolă necesară pentru a extrage un DLL malițios numit „rnp.dll.” Atacatorii au utilizat ulterior tehnica DLL side-loading folosind un program legitim parte a instrumentelor criptografice OpenPGP, „rnpkeys.exe,” pentru a încărca DLL-ul malițios.

Procesul a condus la implementarea stealer-ului LummaC2 și o comandă PowerShell pentru a descărca și decripta payload-uri suplimentare de la „two-root[.]com.” În stadiul final, a fost instalată extensia Chrome numită „Save to Google Drive,” care putea interacționa cu conturi de criptomonede pe Facebook, Coinbase și Google Pay.

Capacitățile Extensiei Chrome malițioase

Extensia avea capacitatea de a manipula echilibrul conturilor, potențial executând tranzacții și colectând informații extinse despre sistem și browser, incluzând detalii hardware, extensii instalate, cookies și un identificator unic al dispozitivului. Toate datele colectate erau apoi transmise unui server de comandă și control (C2).

Utilizând funcția “getInjections,” extensia a fost găsită capabilă să schimbe funcționalitățile native ale browser-ului, deschizând pop-up-uri ascunse pentru vizualizarea unor URL-uri precum payments.google, consent.youtube.com și adsmanager.facebook.com. De asemenea, extensia funcționa cu furnizori de email precum Outlook, Gmail și Yahoo Mail, injectând configurarea din chrome.storage.local în paginile web și schimbând conținutul acestora, posibil capturând coduri de autentificare cu doi factori.

Recomandări pentru protecție

Pentru a vă proteja împotriva unor astfel de vulnerabilități și atacuri, urmați aceste recomandări:

• Utilizați soluții EDR (Endpoint Detection and Response): Aceste soluții vă ajută să detectați și să răspundeți rapid la amenințări.
• Oferiți instruire de conștientizare phishing: Educați-vă angajații despre cum să recunoască și să evite emailurile și linkurile de phishing.
• Educați utilizatorii despre amenințările emergente: Asigurați-vă că toți utilizatorii sunt informați despre cele mai recente amenințări de securitate.
• Setați fișierele script pentru a se deschide în Notepad: Acest lucru previne execuția automată a scripturilor periculoase.
• Preveniți execuția automată a scripturilor: Blocați execuția automată a scripturilor pentru a reduce riscul de infectare.

În cazul în care credeți că dispozitivul vostru a fost compromis de o extensie malițioasă, izolați imediat sistemul infectat și solicitați ajutor de la o echipă specializată de răspuns la incidente.

Sursa articolului:

https://cybersecuritynews.com/malicious-chrome-extension-weaponized-zip/