Фалшиво разширение за офлайн достъп до Google Docs
Фалшивото разширение Google Docs Offline е злонамерена добавка за браузър, предназначена да изглежда като легитимен инструмент. Маскирано като надеждна услуга на Google, то всъщност е част от по-широка кампания за кибератака, известна като GlassWorm. Това разширение не се инсталира директно от потребителя; вместо това, то се инжектира тихо в браузъра от съществуващ злонамерен софтуер чрез злонамерен скрипт. Веднъж налично, то се слива с легитимни разширения, което прави откриването му трудно.
Съдържание
Тиха инфилтрация чрез верижни атаки
Тази заплаха се разпространява чрез сложна верижна атака, която използва компрометирани платформи като хранилища на GitHub, npm пакети и магазини за разширения на браузъра. Киберпрестъпниците зад GlassWorm вграждат вреден код в привидно легитимни софтуерни проекти или актуализации, правейки ги да изглеждат безопасни.
Когато потребителите инсталират или актуализират заразен софтуер, скритият код се активира във фонов режим и инжектира фалшивото разширение в браузъра. В някои случаи зловредният софтуер се доставя чрез измамни механизми за актуализиране, които много наподобяват официални процеси, което допълнително увеличава вероятността за успешно заразяване.
Пълно наблюдение на браузъра и събиране на данни
След като бъде инсталирано, фалшивото разширение работи като троянски кон за отдалечено администриране (RAT), предоставяйки на нападателите широк контрол върху активността на браузъра. То е способно да събира широк набор от чувствителна информация, включително:
- Клавишни комбинации, включително данни за вход и въвеждане във формуляри
- „Бисквитки“ и данни за активна сесия от уебсайтове
- Пълен код на активните раздели на браузъра
- Снимки на екрана на отворените страници
- Съдържание на клипборда и запазени отметки
- История на сърфирането (до 5000 записа)
- Данни за устройството и браузъра, включително хардуер и данни за GPU/WebGL
- Информация за инсталираните разширения на браузъра
Всички събрани данни се групират и предават на киберпрестъпниците, често без видими признаци за жертвата.
Сериозни последици за личната и корпоративната сигурност
Нивото на достъп, предоставено от това злонамерено разширение, излага на риск широк спектър от чувствителни данни. Могат да бъдат разкрити лични имейли, съобщения, документи и друга лична информация. Финансовата дейност е особено уязвима, включително онлайн банкови сесии, данни за плащане и криптовалутни сметки, до които се осъществява достъп през браузъра.
Нападателите могат да използват тези данни, за да отвлекат акаунти, да крадат средства, да се представят за потребители и да извършват допълнителни злонамерени операции. Когато е инсталирана на служебно устройство, въздействието може да ескалира в пълномащабно нарушение на корпоративната сигурност, потенциално компрометирайки вътрешни системи и поверителни бизнес данни.
Злоупотреба с контроли за управление на браузъра
В допълнение към възможностите си за шпиониране, разширението манипулира функцията на браузъра „Управлява се от вашата организация“. При нормални обстоятелства тази настройка показва, че браузърът се контролира от официален администратор, например в корпоративна среда.
Чрез злоупотреба с тази функция, зловредният софтуер може да ограничи потребителския контрол, да предотврати стандартните методи за премахване и да ограничи достъпа до настройките на браузъра. Тази тактика помага на злонамереното разширение да поддържа устойчивост и да остане неоткрито за продължителни периоди.
Постоянна и високорискова заплаха
Фалшивото разширение Google Docs Offline представлява сериозен риск за киберсигурността поради способността си да се маскира, да наблюдава потребителската активност и да краде чувствителни данни. Неговите скрити методи за инсталиране и механизми за запазване на данните го правят особено опасно.
Ако бъде открито, разширението и всички свързани злонамерени компоненти трябва да бъдат премахнати незабавно, за да се предотврати продължаваща кражба на данни и потенциално дългосрочно компрометиране.
