Naukowcy odkryli kolejną rodzinę złośliwych rozszerzeń w sklepie Chrome Store. Tym razem znaleziono 30 różnych Chrome , które kradły dane uwierzytelniające ponad 260 000 użytkowników.
Rozszerzenia wyświetlały pełnoekranową ramkę iframe kierującą do zdalnej domeny. Ramka ta nakładała się na bieżącą stronę internetową i wizualnie wyglądała jak interfejs rozszerzenia. Ponieważ funkcja ta była hostowana zdalnie, nie została uwzględniona w przeglądzie, który pozwolił na umieszczenie rozszerzeń w sklepie internetowym.
W innych ostatnich odkryciach informowaliśmy o rozszerzeniach szpiegujących czaty ChatGPT, rozszerzeniach uśpionych monitorujących aktywność przeglądarki oraz fałszywym rozszerzeniu, które celowo powodowało awarię przeglądarki.
Aby rozłożyć ryzyko wykrycia i usunięcia, atakujący wykorzystali technikę znaną jako „rozpylanie rozszerzeń”. Oznacza to, że używali różnych nazw i unikalnych identyfikatorów dla zasadniczo tego samego rozszerzenia.
Często zdarza się, że badacze udostępniają listę nazw i identyfikatorów rozszerzeń, a użytkownicy muszą sami sprawdzić, czy mają zainstalowane któreś z nich.
Wyszukiwanie według nazwy jest łatwe po otwarciu zakładki „Zarządzaj rozszerzeniami”, ale niestety nazwy rozszerzeń nie są unikalne. Możesz na przykład mieć zainstalowane legalne rozszerzenie, które przestępca próbował podrobić.
Wyszukiwanie według unikalnego identyfikatora
W przeglądarkach Chrome Edge identyfikator rozszerzenia przeglądarki to unikalny ciąg 32 znaków składający się z małych liter, który pozostaje niezmienny nawet w przypadku zmiany nazwy lub ponownej wysyłki rozszerzenia.
Jeśli spojrzymy na rozszerzenia z punktu widzenia ich usuwania, to są dwa rodzaje: te zainstalowane przez użytkownika i te zainstalowane na siłę innymi sposobami (administrator sieci, złośliwe oprogramowanie, obiekt zasad grupy (GPO) itp.).
W tym przewodniku zajmiemy się tylko pierwszym typem — tymi, które użytkownicy zainstalowali samodzielnie ze Sklepu internetowego. Poniższy przewodnik dotyczy przeglądarki Chrome, ale w przypadku Edge jest prawie identyczny.
Jak znaleźć zainstalowane rozszerzenia
Możesz sprawdzić zainstalowane Chrome w następujący sposób:
- W pasku adresu wpisz
chrome://extensions/. - Spowoduje to otwarcie karty Rozszerzenia i wyświetlenie zainstalowanych rozszerzeń według nazwy.
- Teraz włącz tryb programisty, a zobaczysz również ich unikalne identyfikatory.
Metoda usuwania w przeglądarce
Użyj przycisku Usuń, aby pozbyć się niechcianych wpisów.
Jeśli zniknie i nie pojawi się ponownie po ponownym uruchomieniu, to wszystko gotowe. Jeśli nie ma przycisku Usuń lub Chrome komunikat „Zainstalowane przez administratora” lub rozszerzenie pojawia się ponownie po ponownym uruchomieniu, oznacza to, że istnieje polityka, wpis w rejestrze lub złośliwe oprogramowanie, które je wymusza.
Alternatywa
Alternatywnie można również przeszukać folder Rozszerzenia. W Windows folder ten znajduje się tutaj: C:\Users\<your‑username>\AppData\Local\Google\Chrome\User Data\Default\Extensions.
Należy pamiętać, że folder AppData jest domyślnie ukryty. Aby wyświetlić ukryte pliki i foldery w Windows, otwórz Eksploratora, kliknij kartęWidok(lub menu) i zaznacz poleUkryte elementy. Aby uzyskać dostęp do bardziej zaawansowanych opcji, wybierzOpcje > Zmień opcje folderów i wyszukiwania > karta Widok, a następnie wybierzopcję Pokaż ukryte pliki, foldery i dyski.
Możesz uporządkować listę alfabetycznie, klikając raz lub dwa razy nagłówek kolumny Nazwa . Ułatwi to znalezienie rozszerzeń, jeśli masz ich wiele zainstalowanych.
Usunięcie folderu rozszerzenia ma jedną wadę. Pozostawia ono osierocony wpis w przeglądarce. Po Chrome uruchomieniu Chrome rozszerzenie nie będzie się już ładować, ponieważ jego pliki zostały usunięte. Nadal będzie jednak widoczne w zakładce Rozszerzenia, ale bez odpowiedniej ikony.
Dlatego radzimy, żebyś wyłączył rozszerzenia w przeglądarce, jeśli to możliwe.
Złośliwe rozszerzenia
Poniżej znajduje się lista rozszerzeń kradnących dane uwierzytelniające przy użyciu metody iframe, dostarczona przez badaczy.
| Identyfikator rozszerzenia | Nazwa rozszerzenia |
|---|---|
| acaeafediijmccnjlokgcdiojiljfpbe | ChatGPT Tłumacz |
| baonbjckakcpgliaafcodddkoednpjgf | XAI |
| bilfflcophfehljhpnklmcelkoiffapb | Sztuczna inteligencja w tłumaczeniach |
| cicjlpmjmimeoempffghfglndokjihhn | Generator listów motywacyjnych AI |
| ckicoadchmmndbakbokhapncehanaeni | AI Email Writer |
| ckneindgfbjnbbiggcmnjeofelhflhaj | Generator obrazów AI Chat GPT |
| cmpmhhjahlioglkleiofbjodhhiejhei | Tłumacz AI |
| dbclhjpifdfkofnmjfpheiondafpkoed | Generator tapet Ai |
| djhjckkfgancelbmgcamjimgphaphjdl | Pasek boczny AI |
| ebmmjmakencgmgoijdfnbailknaaiffh | Czatuj z Gemini |
| ecikmpoikkcelnakpgaeplcjoickgacj | Generator obrazów AI |
| fdlagfnfaheppaigholhoojabfaapnhb | Google Gemini |
| flnecpdpbhdblkpnegekobahlijbmfok | Generator obrazów ChatGPT |
| fnjinbdmidgjkpmlihcginjipjaoapol | Generator e-maili AI |
| fpmkabpaklbhbhegegapfkenkmpipick | Czat GPT dla Gmaila |
| fppbiomdkfbhgjjdmojlogeceejinadg | Pasek boczny Gemini AI |
| gcfianbpjcfkafpiadmheejkokcmdkjl | Lama |
| gcdfailafdfjbailcdcbjmeginhncjkb | Grok Chatbot |
| gghdfkafnhfpaooiolhncejnlgglhkhe | Pasek boczny AI |
| gnaekhndaddbimfllbgmecjijbbfpabc | Zapytaj Gemini |
| gohgeedemmaohocbaccllpkabadoogpl | Czat DeepSeek |
| hgnjolbjpjmhepcbjgeeallnamkjnfgi | Generator listów AI |
| idhknpoceajhnjokpnbicildeoligdgh | Tłumaczenie ChatGPT |
| kblengdlefjpjkekanpoidgoghdngdgl | AI GPT |
| kepibgehhljlecgaeihhnmibnmikbnga | Pobierz DeepSeek |
| lodlcpnbppgipaimgbjgniokjcnpiiad | Generator wiadomości AI |
| llojfncgbabajmdglnkbhmiebiinohek | Pasek boczny ChatGPT |
| nkgbfengofophpmonladgaldioelckbe | Chatbot GPT |
| nlhpidbjmmffhoogcennoiopekbiglbp | Asystent AI |
| phiphcloddhmndjbdedgfbglhpkjcffh | Zapytaj Chat Gpt |
| pgfibniplgcnccdnkhblpmmlfodijppg | CzatGBT |
| cgmmcoandmabammnhfnjcakdeejbfimn | Grok |
Nie tylko informujemy o zagrożeniach - my je usuwamy
Zagrożenia cyberbezpieczeństwa nigdy nie powinny wykraczać poza nagłówek. Chroń swoje urządzenia przed zagrożeniami, pobierając Malwarebytes już dziś.
