Μια νέα εκτεταμένη εκστρατεία κυβερνοεπιθέσεων ήρθε στο φως, καθώς ερευνητές ασφαλείας ανακάλυψαν 108 επεκτάσεις για τον Google Chrome που επικοινωνούν με την ίδια υποδομή εντολών και ελέγχου (C2), με στόχο τη συλλογή δεδομένων χρηστών και τη διευκόλυνση κακόβουλων ενεργειών σε επίπεδο προγράμματος περιήγησης, μέσω της εισαγωγής διαφημίσεων και αυθαίρετου κώδικα JavaScript σε κάθε ιστοσελίδα που επισκέπτεται ο χρήστης.
Οι επεκτάσεις αυτές έχουν συγκεντρώσει συνολικά περίπου 20.000 εγκαταστάσεις στο Chrome Web Store.
Google Chrome: Η ανατομία της απάτης και οι τακτικές κλοπής
Σύμφωνα με την ανάλυση της εταιρείας Socket, οι επεκτάσεις δημοσιεύθηκαν κάτω από πέντε διαφορετικές ταυτότητες εκδοτών, όπως οι Yana Project και GameGen, προσποιούμενες ότι προσφέρουν χρήσιμα εργαλεία.
Στην πραγματικότητα, 54 από αυτές κλέβουν την ταυτότητα λογαριασμών Google μέσω του πρωτοκόλλου OAuth2, ενώ άλλες 45 περιέχουν μια καθολική κερκόπορτα (backdoor) που ανοίγει αυθαίρετες διευθύνσεις URL με την εκκίνηση του browser.
Οι υπόλοιπες επιδίδονται σε ποικίλες κακόβουλες συμπεριφορές, αποστέλλοντας ευαίσθητες πληροφορίες σε διακομιστές που ελέγχονται από τους επιτιθέμενους.
Στόχευση χρηστών Telegram και κοινωνικών δικτύων
Ιδιαίτερη ανησυχία προκαλεί η στόχευση της διαδικτυακής έκδοσης του Telegram. Ορισμένες επεκτάσεις εξάγουν τα διακριτικά αυθεντικοποίησης (tokens) των χρηστών κάθε δεκαπέντε δευτερόλεπτα, επιτρέποντας στους δράστες να καταλαμβάνουν ενεργές συνεδρίες επικοινωνίας.
Παράλληλα, άλλες εφαρμογές αφαιρούν τις κεφαλίδες ασφαλείας από πλατφόρμες όπως το YouTube και το TikTok, εισάγοντας διαφημίσεις για τυχερά παιχνίδια πάνω από το κανονικό περιεχόμενο. Με αυτόν τον τρόπο, οι επιτιθέμενοι αποκτούν πλήρη έλεγχο της ψηφιακής δραστηριότητας του θύματος.
Προστασία των χρηστών και μέτρα ασφαλείας
Αν και ο ακριβής δράστης παραμένει άγνωστος, η ανάλυση του πηγαίου κώδικα αποκάλυψε σχόλια στη ρωσική γλώσσα σε αρκετές από τις επεκτάσεις. Οι ειδικοί συμβουλεύουν όσους χρήστες έχουν εγκαταστήσει κάποια από τις ύποπτες εφαρμογές, όπως το «Telegram Multi-account» ή το «Formula Rush Racing Game», να τις αφαιρέσουν αμέσως.
Επιπλέον, κρίνεται απαραίτητο να αποσυνδεθούν από όλες τις ενεργές συνεδρίες του Telegram Web μέσω της επίσημης εφαρμογής στο κινητό τους τηλέφωνο για να διασφαλίσουν τους λογαριασμούς τους.
