Firma Microsoft usunęła ze sklepu Edge przeglądarki Edge 119 rozszerzeń, które były powiązane z jedną kampanią reklamową typu adware.
W artykule zatytułowanym„Inside StegoAd: How We Disrupted a Massive Malicious Extension Campaign” badacze z firmy Microsoft szczegółowo opisują, w jaki sposób wykryli i zlikwidowali wyrafinowaną kampanię złośliwego oprogramowania, która wykorzystywała rozszerzenia przeglądarek do infekowania użytkowników. Według firmy Microsoft w kampanii tej wykorzystano 119 złośliwych rozszerzeń przeglądarek, które pobrało 2,6 miliona użytkowników.
Wszystkie te rozszerzenia obiecywały – i faktycznie zapewniały – pewnego rodzaju podstawowe funkcje: blokowanie reklam, sieci VPN, tłumacze, narzędzia do pobierania filmów, kalkulatory, rozszerzenia z kuponami rabatowymi i tak dalej. Jednak po pewnym czasie okazało się, że były to„ukryte zagrożenia”i potajemnie zaczęły pobierać dodatkowe złośliwe oprogramowanie.
Wśród ładunku znajdowało się złośliwe oprogramowanie wykorzystywane do oszustw reklamowych, ale także rozszerzenia, które uruchamiały dowolny kod JavaScript przesyłany z serwera – kod ten kradł dane logowania do usług Google oraz kody dwuskładnikowego uwierzytelniania podczas logowania, zbierał dane logowania do panelu administracyjnego WordPressa oraz masowo wykradał pliki cookie w celu przejęcia sesji.
Nazwa kampanii „StegoAd” pochodzi od słów „reklama” i „steganografia”, czyli techniki ukrywania tajemnic w czymś, co na pierwszy rzut oka nie budzi podejrzeń. W tym przypadku chodzi o ukrywanie kodu w obrazach.
Cyberprzestępcy nie tylko starali się pozostać niezauważeni, czekając przez pewien czas i ukrywając złośliwy kod w obrazkach, ale także niektórych ofiar pozostawili w spokoju. Niektóre z tych rozszerzeń stawały się złośliwe tylko w około 10% instalacji, co faktycznie uruchamiało kolejny etap działania złośliwego oprogramowania, podczas gdy pozostałe ~90% pozostawało nienaruszonych (przynajmniej w przypadku tej próby uruchomienia). W niektórych przypadkach cyberprzestępcy ponownie wykorzystywali nazwy dobrze znanych, legalnych rozszerzeń, aby wzbudzić dodatkowe zaufanie.
Rozszerzenia przeglądarek stanowią źródło bogactwa dla cyberprzestępców, ponieważ ich instalacja przypomina zainstalowanie niewielkiego programu działającego w przeglądarce, który może śledzić i raportować wszystkie działania użytkownika w Internecie.
Słyszę, jak niektórzy z was myślą: „Nie korzystam z Edge”. Albo: „Użyłem jej tylko raz, żeby pobrać i zainstalować moją ulubioną przeglądarkę”. Jednak mimo że to firma Microsoft wykryła i przeanalizowała tę kampanię, techniki w niej zastosowane mają zastosowanie ogólnie do wszystkich przeglądarek opartych na silniku Chromium.
W tej kampanii nie chodziło tyle o wykorzystanie luki w zabezpieczeniach przeglądarki, co o nakłonienie użytkowników do zainstalowania rozszerzenia wyglądającego na godne zaufania, a następnie zastosowanie zaawansowanych technik maskowania, aby uniknąć wykrycia na tyle długo, by przejąć kontrolę nad systemami.
Jak zachować bezpieczeństwo
Zawsze zachowuj ostrożność podczas pobierania rozszerzeń, nawet z renomowanych sklepów z aplikacjami. Jak wielokrotnie mieliśmy okazję zaobserwować, przestępcom udaje się umieścić swoje aplikacje lub rozszerzenia w ofercie, mimo że wystarczy jedna aktualizacja, by zamieniły się one w złośliwe oprogramowanie. Dlatego upewnij się, że deweloper jest godny zaufania, i nie polegaj wyłącznie na recenzjach.
Korzystaj z aktualnego rozwiązania zabezpieczającego działającego w czasie rzeczywistym, aby wykrywać i usuwać złośliwe rozszerzenia z urządzenia oraz blokować połączenia ze złośliwymi domenami i adresami IP. Usuń znane złośliwe rozszerzenia z przeglądarki. Poniżej znajduje się alfabetyczna lista złośliwych rozszerzeń, które naukowcy zidentyfikowali według nazw.
Należy pamiętać, że może istnieć więcej niż jedno rozszerzenie o tej samej nazwie. Jeśli nie masz pewności, czy zainstalowane przez Ciebie rozszerzenie znajduje się wśród nich, sprawdź, czy jego identyfikator (ID) zgadza się z tym podanym na liście. Jeśli wolisz wyszukiwać rozszerzenia na podstawie identyfikatora, znajdziesz je uporządkowane w inny sposób w raporcie firmy Microsoft (strony 40–43).
| Nazwa rozszerzenia | Identyfikator rozszerzenia |
| #Najlepszy# PDF Saver | jebcdimkcimkafekgbgbhookdajcoeib |
| Przycisk „Pobierz” w YouTube | jbmkcmhocoddcokjkahpcchanlmiffhg |
| Przycisk „Zapisz” na Pinterest | fhkijdlfjnpimenfpnegkecbbijmoipm |
| …Narzędzie do robienia zrzutów ekranu stron | maiackahflfnegibhinjhpbgeoldeklb |
| 7TV | nmhdjlflloeeahacgomilnhmpfnhlpkn |
| Adblock | aooacabidfijofopjaeligonlfobjcjb |
| Adblock | dckihkcdmjmlkndgmmgplpcnkmdpangb |
| Adblock (klon µBlock) | kmiahfbflcnmlobepelpgkmolhodmiek |
| Adblock dla Edge | kikacehfccglblphddbifmiaeiglfdfi |
| Adblock Master | dgmpkflgbcbpjgniahjegbpelmofbgnn |
| Adblock Master | hninibdhkeepfndhcdknlijeapngbgdp |
| Adblock Master dla serwisu YouTube | jnakfjmfmjmfpmdnghedafdphdanbjkh |
| Adblock dla serwisu YouTube | afakckepbbffmnoghgpfnnebijeahjcb |
| Adblock dla serwisu YouTube | gclhifbbggfamoojmienffegbmmfnfll |
| Adblock dla YouTube™ | nipggfgilmoiofmnkbeabghbcaohmjih |
| Adblocker FX | fkkoeecbjckjpnmenebojblcljjgbpoj |
| Adblocker Plus YouTube™ | imiheoejheaebigkjaeilfmekiikjdbd |
| AdFly Skipper dla Edge | nhfohdhgahjpmniccbgflilignkcnmai |
| AdSkip – iQIYI | mimmainmmkddahakleojidjaimaofndp |
| Ads Block Ultimate | fbobegkkdmmcnmoplkgdmfhdlkjfelnb |
| Wyszukiwanie oparte na sztucznej inteligencji GPT dla Edge | beemogkfhphmjghmkghdaggidgohohee |
| Wyszukiwanie oparte na sztucznej inteligencji z wykorzystaniem ChatGPT | jgngkchljnldpnjimaboboomjmpfpoie |
| Prognoza pogody oparta na sztucznej inteligencji | iaehhmhmdidpkfmddiodkloefndpggcj |
| AliExpress Helper | elecjoakfjcmjoppfconlfgfemjcaoea |
| Automatyczne pomijanie reklam w YouTube | dcelinkcepeidliddjhapgjokheoldjb |
| Axure RP Viewer | aekfeebhjlmielppjlhebapokdkelion |
| Narzędzie do zbiorczego pobierania obrazów | hnleilhpfbdofpdnnpjggafhncienakg |
| Narzędzie do zbiorczego pobierania obrazów | ibfjnghdeenopfkpbmnkablkfejnlnif |
| Najlepsze narzędzie do testowania prędkości | eklcgjodcnhhcghpbhehhbnmjncbopcg |
| Najlepszy YouTube | cjjcndlebdepeddfopnhpifmbfecocfh |
| Wzmacniacz koloru | bmmchpeggdipgcobjbkcjiifgjdaodng |
| Koloruj według numerów | aljmdjbcbkanlhnmcdjbefaomgbekhno |
| ColorZilla | mdjeohcdegpfoppocljbccpognjlkjke |
| Konwertuj wszystko | ielbkcjohpgmjhoiadncabphkglejgih |
| Fajny kursor | ajbkmeegjnmaggkhmibgckapjkohajim |
| CrxMouse – Super Drag | pohfogacehhgefhgmcmnojflfakllkal |
| Gesty CrxMouse | imcbcfmohachfahkbgijokokjpfmoogb |
| Nowa karta dostosowana do przeglądarki Edge | dbhgpbaaedlknnnochmkjfacnfnakkfa |
| Narzędzie do pobierania zdjęć z Instagram | higdalghhdbfffdjdiaenminajlmmldb |
| Pobierz wszystkie zdjęcia | hnggnhinapdcjocbciajaffnofecfale |
| Zaznaczacz tekstu Edge | ijgobfhjjipoljjcejmafocdnfnloflm |
| Skuteczny program blokujący reklamy na YouTube | oejbpnadmkdiofacgknaaagbmmonhgpb |
| Rozwiń możliwości serwisu YouTube™ | jecnjeedhbokmpckobjbgieglfjcomek |
| Evernote w przypiętej karcie | elljfaejhdaplocgcejlhfemgimbmcdp |
| Focus To-Do: Licznik Pomodoro i lista zadań do wykonania | nlapjaaepfeadiecaipnacimidfjginj |
| Darmowy program do pobierania filmów z internetu | bpdanoaacmebjgfjdmekfcfgmnaoekim |
| Tłumacz G.B.B.D. | fdjpommjpahieenehallhicdhponhacm |
| GIPHY dla Edge | gggjlnkbmgmjboipaegjmjmehmcekamo |
| Narzędzie do sprawdzania konta Gmail | nhjdhmbdahdidccpobobccagmmijndmp |
| Google Hangouts | adnahjjfjjemdiefpobclponnhkijnmo |
| Poprawka linku do wyszukiwarki Google | mjofmhcbolkekhebpccldlbdamnfjefc |
| Tłumacz Google po kliknięciu prawym przyciskiem myszy | fcoongackakfdmiincikmjgkedcgjkdp |
| Hiddence VPN | akfklmfpgmkkhiiolnfbhalkeccjnmeb |
| HLS Stream Downloader | fgbfcndckldbjifhjgijpjmnpekkelkb |
| IG Downloader dla Edge | ncbpkjcnklnbnkjpcamhhoedlkljeolo |
| Program do pobierania obrazów – pobieranie zbiorcze | ngeoikidkjbegoifbnmfimacmbilfcgi |
| Image Downloader Pro | gnbnbmnldhfoplgjojhepikgjanaplle |
| Imageye | ikfdcmchafnmklcndfegdlefcfoaggni |
| ImTranslator | bbofakpgfmlfjpjcahodgpbddocpibge |
| iQiyi Adblock | hlkenllnegiplhjhpobgangolfkjcgab |
| iVideo Downloader | amfboegfahhedgehddflgcfbdaapllfj |
| iYouTubeToMP4 | bemebcpaekkmffjjbdakpipemmmlgchb |
| Reaktor językowy | hffpfdhdjpbnaddaidajedimmpckekkl |
| Strona startowa na żywo | egbkgelnkodaldbpkgjmhcekjakkcpnk |
| Magiczne akcje na YouTube | pjhoiegecdlpaohfffpajaldpbilngog |
| Marinara: Pomodoro® Assistant | mebgpfbaibhepnkljpimlijicgkbangk |
| Tłumacz podpowiedzi myszy | ibjjllhemkfgfbkgohldepcdgiigpdkb |
| Natural Reader – synteza mowy | eopjamlpanhfkcbnoeofcnmdfdiogfgl |
| Nowa karta – spersonalizowany pulpit nawigacyjny | edohfgmjmdnibeihfcajfclmhapjkooa |
| Tryb nocny | engcfdjknekakgpjkhdobneidcpfbfgm |
| Tryb nocny | pgcamkdibinodcpkhenjmofbfobpebpn |
| Jedno kliknięcie tłumaczy | jihipmfmicjjpbpmoceapfjmigmemfam |
| Odtwarzanie w trybie „obraz w obrazie” | kemjiblbeciejjlgobbkffbpnceieefh |
| Piggy – Automatyczne kupony | gmaoimcaoimgmomockloieoifjocpkmf |
| Przycisk „Zapisz” serwisu Pinterest | kakgeonhimhojdncehlopejkfaapboeo |
| Przywróć przycisk YouTube | cgoigjefilgfmcjnnendlpdaonlfoncf |
| Kanał RSS | gmciomcaholgmklbfangdjkneihfkddd |
| Zapisz jako PDF | mlgefgipndlgdfjfgnjfheigkagjieea |
| Zapisz na Pinterest po kliknięciu prawym przyciskiem myszy | glgbgppjjkldoifgpbhbpbkbcdjpgpfj |
| Efekt ekranowy | Tryb ciemny | olcibgopfmndlnghnmogcgdhdffdbicg |
| Podobne strony – Odkryj powiązane strony internetowe | fifeankddgioinbcchlokclbcgjlopjj |
| Podobne strony do Edge | fhhinoefbjlmhakpjohnpabdobgmphli |
| Prosty program do masowego pobierania plików | dbhdfkiddhdhmcikjdgblfjbenjfjlfh |
| Menedżer postów w mediach społecznościowych | inelenlaldjofeekhjinpjkacjokagke |
| SpeakIt! | badiigfpcpfckbhmpmkhokagppaadkim |
| Regulacja prędkości odtwarzania na YouTube | eindenipbnkpeofhpjjimphfchmjoohe |
| Narzędzie do sprawdzania pisowni i gramatyki | fljmegmgjebjdionedkjfgffikhnmcgg |
| ssYoutube – narzędzie do pobierania filmów | okmfpehbgckbneedidbladdaiekikcdo |
| Podsumowanie z wykorzystaniem ChatGPT | dokiamnhbobapjfhhhcjlfplabeofamp |
| Tryb Super Dark Mode w przeglądarce Edge | lkmeakjjodlkhbikbpdoeicfodaklkna |
| TikMate | jhahljcmjemimhchigiaigklabnpodgo |
| Aplikacja TikTok dla Edge | celdediiemogjpfcjocdbildilkccepl |
| Program do pobierania filmów z TikToka bez znaku wodnego | flcgalphjnojjefjnnimnejbkkefbjgo |
| Do kodu QR | cgjomicbgmoadggnjbdiafpjlodmafkp |
| Transkrypcja | lplondnihmdhjokafldkcfnjclkhigpm |
| Specjalista ds. tłumaczeń | jjdfciihihcpgfgmoonfpgglbgclpfai |
| Przetłumacz zaznaczony tekst za pomocą Google | obocpangfamkffjllmcfnieeoacoheda |
| Przetłumacz zaznaczony tekst prawym przyciskiem myszy | fmchencccolmmgjmaahfhpglemdcjfll |
| Sprawdzona VPN Edge bezpłatna usługa VeePN | klmfgbnlbfgpdenpdddpdfigmnkmchil |
| Turbo Download Manager | bpjnmlookdfciblphehedlcbpmignahe |
| Niestandardowe emotikony na Twitchu – FrankerFaceZ | johcbgkljdbebbloakcollpmigpigkpd |
| Program do pobierania filmów z serwisu YouTube | nphphgkcccnlmdiihcedabnhfacfmojk |
| Przywróć zamknięte karty | amemnenomfejhfmfiheekmbcigfkolel |
| Odblokuj Youku | ajnjfpjimckjhfcpkaldennpdjglmeml |
| Skorzystaj z UseChatGPT.AI | hcmfdagipflbaagmcnhnhabkmjkopcke |
| Narzędzie do pobierania plików wideo i MP3 | oiolhdeinoaidggfcpebifcbedppbgog |
| Video Downloader Premium | jgphopeamnghlcekffldkpnbhmiadnbc |
| VPN | pdnjhppcgkdbjolbeplcabkcfmpnbjmh |
| Prognoza pogody | hecicojipmfmablnbhknedademofbbpk |
| Zrzut ekranu strony internetowej dla Edge | eblienbdkbgiigaebhmljbedkafiobkj |
| YouTube na tekst | nfincgjfplibcdcncfkeehldffppnlnp |
| YouTube™ Adblock Plus | flmkfmdmcaepdaoedepihfkhmgopiago |
| Blokada reklam na YouTube online | hmjdegfgppjddmmojloflajkelegnjdp |
| Pobieranie z serwisu YouTube | dhnibdhcanplpdkcljgmfhbipehkgdkk |
| Narzędzie do pobierania filmów z YouTube w formacie MP4 | cfilkckedhoniijcpjfgihelgepflpni |
| Wyszukiwarka ZLibrary | ffedaeoanbhgmanhhecfjodpopcjnhkc |
| Tłumaczenie jednym kliknięciem | nepdfkaidpemglngbgpnmmhnleiekpin |
| Gesty myszy (Mouse Gestures) | cbopgngpbfeoecnbebghbbhmdadmllce |
Nie tylko informujemy o zagrożeniach - my je usuwamy
Zagrożenia cyberbezpieczeństwa nigdy nie powinny wykraczać poza nagłówek. Chroń swoje urządzenia przed zagrożeniami, pobierając Malwarebytes już dziś.
