Na początku tego roku Google zdecydowało, że rozszerzenia, które nie są przechowywane w sklepie Chrome Web Store nie mogą być instalowane i używane przez użytkowników przeglądarki Chrome. Decyzja ta miała na celu ochronę przed złośliwym i szpiegującym oprogramowaniem. Niestety, metoda ta w tym przypadku zawiodła - i to kilkukrotnie. Google się nie popisało.

Badacze z Trend Micro przeanalizował niedawno facebookowy scam, który zapraszał użytkowników do obejrzenia filmu z pijanymi dziewczynami. Ci, którzy kliknęli w link zostali informacją odpowiednią pouczeni, że aby zobaczyć wideo muszą pobrać z Chrome Web Store rozszerzenie (rozszerzenie to trafiło do oficjalnego sklepu Google).

Jeśli ktoś nabrał się na tą starą jak świat sztuczkę, przekierowywano go do wideo na YT. Jeszcze nie ma w tym nic niebezpiecznego, ale… Rozszerzenie zostało pobrane i nie służyło do odtwarzania filmu na YT, instalowało się z prawami do komentowania i wysyłania wiadomości na facebooku przez scamerów - pozwalało hakerom w imieniu ofiary wysyłać dowolne wiadomości i komentować w ich imieniu.

Nasze badanie wykazało, że autor rozszerzenia używał prywatnego wirtualnego serwera (VPS) w Rosji, gdzie zarejestrował też kilka domen. Wśród tych domem był też jeden serwer C & C, na którym gromadził skradzione dane od zainfekowanych użytkowników.

To szkodliwe oprogramowanie zostało już usunięte przez Google ze sklepu, co więcej, nie jest to jedyny oszust, któremu udało się ominąć zabezpieczenia Google. Analitycy malware z Trent Micro odkryli kilka podobnych przypadków. Użytkownicy powinni zawsze zastanowić się dwa razy co instalują na swoim komputerze.

AUTOR:

Adrian Ścibor

Podziel się