Väärennetty Google Docsin offline-laajennus
Väärennetty Google Docs Offline -laajennus on haitallinen selainlaajennus, joka on suunniteltu näyttämään lailliselta työkalulta. Luotettavaksi Google-palveluksi naamioituna se on itse asiassa osa laajempaa kyberhyökkäyskampanjaa, joka tunnetaan nimellä GlassWorm. Käyttäjä ei asenna tätä laajennusta suoraan, vaan sen lisää selaimeen jo olemassa oleva haittaohjelma haitallisen komentosarjan avulla. Kun se on kerran asennettu, se sulautuu laillisiin laajennuksiin, mikä vaikeuttaa havaitsemista.
Sisällysluettelo
Hiljainen soluttautuminen ketjuhyökkäysten kautta
Tämä uhka leviää hienostuneen ketjuhyökkäyksen kautta, joka hyödyntää vaarantuneita alustoja, kuten GitHub-arkistoja, npm-paketteja ja selainlaajennusten tallennustiloja. GlassWormin takana olevat kyberrikolliset upottavat haitallista koodia näennäisesti laillisiin ohjelmistoprojekteihin tai päivityksiin, jolloin ne näyttävät turvallisilta.
Kun käyttäjät asentavat tai päivittävät tartunnan saaneita ohjelmistoja, piilotettu koodi aktivoituu taustalla ja lisää väärennetyn laajennuksen selaimeen. Joissakin tapauksissa haittaohjelma toimitetaan harhaanjohtavien päivitysmekanismien kautta, jotka muistuttavat läheisesti virallisia prosesseja, mikä lisää entisestään tartunnan onnistumisen todennäköisyyttä.
Täysi selainvalvonta ja tiedonkeruu
Asennuksen jälkeen tekaistu laajennus toimii etähallinnan troijalaisena (RAT), joka antaa hyökkääjille laajan hallinnan selaintoimintaan. Se pystyy keräämään monenlaisia arkaluonteisia tietoja, mukaan lukien:
- Näppäinpainallukset, mukaan lukien kirjautumistiedot ja lomakkeen syötteet
- Evästeet ja aktiivisen istunnon tiedot verkkosivustoilta
- Aktiivisten selainvälilehtien täydellinen koodi
- Kuvakaappauksia avoimista sivuista
- Leikepöydän sisältö ja tallennetut kirjanmerkit
- Selaushistoria (enintään 5000 merkintää)
- Laite- ja selaintiedot, mukaan lukien laitteisto- ja GPU/WebGL-tiedot
- Tietoja asennetuista selainlaajennuksista
Kaikki kerätyt tiedot niputetaan ja lähetetään kyberrikollisille, usein ilman näkyviä merkkejä uhrille.
Vakavat seuraukset henkilökohtaiselle ja yritysturvallisuudelle
Tämän haitallisen laajennuksen myöntämä käyttöoikeustaso vaarantaa laajan joukon arkaluonteisia tietoja. Yksityiset sähköpostit, viestit, asiakirjat ja muut henkilökohtaiset tiedot voivat paljastua. Taloudellinen toiminta on erityisen haavoittuvaa, mukaan lukien verkkopankki-istunnot, maksutiedot ja selaimen kautta käytettävät kryptovaluuttatilit.
Hyökkääjät voivat hyödyntää näitä tietoja tilien kaappaamiseen, varojen varastamiseen, käyttäjien henkilöllisyyden anastamiseen ja muihin haitallisiin toimintoihin. Työpaikalle asennettuna sen vaikutus voi kärjistyä täysimittaiseksi yrityksen tietoturvaloukkaukseksi, joka voi vaarantaa sisäisiä järjestelmiä ja luottamuksellisia liiketoimintatietoja.
Selaimen hallintatyökalujen väärinkäyttö
Vakoiluominaisuuksiensa lisäksi laajennus manipuloi selaimen "Organisaatiosi hallinnoima" -ominaisuutta. Normaaliolosuhteissa tämä asetus tarkoittaa, että selainta hallitsee virallinen järjestelmänvalvoja, kuten yritysympäristössä.
Käyttämällä tätä ominaisuutta haittaohjelma voi rajoittaa käyttäjän hallintaa, estää tavanomaisten poistomenetelmien käytön ja rajoittaa pääsyä selainasetuksiin. Tämä taktiikka auttaa haitallista laajennusta pysymään havaitsemattomana pitkiä aikoja.
Jatkuva ja riskialtis uhka
Väärennetty Google Docs Offline -laajennus on vakava kyberturvallisuusriski, koska se pystyy naamioimaan itsensä, seuraamaan käyttäjien toimintaa ja varastamaan erittäin arkaluonteisia tietoja. Sen salaiset asennustavat ja pysyvyysmekanismit tekevät siitä erityisen vaarallisen.
Jos laajennus ja kaikki siihen liittyvät haitalliset komponentit havaitaan, ne on poistettava välittömästi jatkuvien tietovarkauksien ja mahdollisten pitkäaikaisten tietomurtojen estämiseksi.
