תוסף מזויף ל-Google Docs במצב לא מקוון
התוסף המזויף Google Docs Offline הוא תוסף דפדפן זדוני שנועד להיראות ככלי לגיטימי. הוא מחופש לשירות גוגל מהימן, והוא למעשה חלק מקמפיין מתקפת סייבר רחב יותר המכונה GlassWorm. תוסף זה אינו מותקן על ידי המשתמש ישירות; במקום זאת, הוא מוזרק בשקט לדפדפן על ידי תוכנות זדוניות קיימות באמצעות סקריפט זדוני. לאחר נוכחותו, הוא משתלב עם תוספים לגיטימיים, מה שמקשה על הזיהוי.
תוכן העניינים
חדירה שקטה באמצעות התקפות שרשרת
איום זה מתפשט באמצעות מתקפת שרשרת מתוחכמת המנצלת פלטפורמות פגועות כגון מאגרי GitHub, חבילות npm ומאגרי הרחבות דפדפן. פושעי הסייבר שמאחורי GlassWorm מטמיעים קוד מזיק בתוך פרויקטים או עדכוני תוכנה שנראים לגיטימיים, מה שגורם להם להיראות בטוחים.
כאשר משתמשים מתקינים או מעדכנים תוכנה נגועה, הקוד המוסתר מופעל ברקע ומזריק את התוסף המזויף לדפדפן. במקרים מסוימים, התוכנה הזדונית מועברת באמצעות מנגנוני עדכון מטעים הדומים מאוד לתהליכים רשמיים, מה שמגדיל עוד יותר את הסבירות להדבקה מוצלחת.
מעקב מלא בדפדפנים ואיסוף נתונים
לאחר התקנתו, התוסף המזויף פועל כטרויאני לניהול מרחוק (RAT), ומעניק לתוקפים שליטה נרחבת על פעילות הדפדפן. הוא מסוגל לאסוף מגוון רחב של מידע רגיש, כולל:
- הקשות מקשים, כולל פרטי כניסה והזנת טפסים
- קובצי Cookie ונתוני סשן פעיל מאתרים
- קוד מלא של כרטיסיות פעילות בדפדפן
- צילומי מסך של דפים פתוחים
- תוכן הלוח וסימניות שנשמרו
- היסטוריית גלישה (עד 5000 רשומות)
- פרטי מכשיר ודפדפן, כולל חומרה ונתוני GPU/WebGL
- מידע על הרחבות דפדפן מותקנות
כל הנתונים שנאספו ארוזים ומועברים לפושעי סייבר, לעתים קרובות ללא כל סימנים גלויים לקורבן.
השלכות חמורות על ביטחון אישי ותאגידי
רמת הגישה שמעניקה התוסף הזדוני הזה מעמידה מגוון רחב של נתונים רגישים בסיכון. הודעות דוא"ל פרטיות, הודעות, מסמכים ומידע אישי אחר עלולים להיחשף. פעילות פיננסית פגיעה במיוחד, כולל שיחות בנקאיות מקוונות, פרטי תשלום וחשבונות קריפטו אליהם ניתן לגשת דרך הדפדפן.
תוקפים יכולים לנצל נתונים אלה כדי לחטוף חשבונות, לגנוב כספים, להתחזות למשתמשים ולבצע פעולות זדוניות נוספות. כאשר הם מותקנים על מכשיר עבודה, ההשפעה עלולה להסלים לפריצת אבטחה בקנה מידה כולל של החברה, שעלולה לפגוע במערכות פנימיות ובנתונים עסקיים חסויים.
ניצול לרעה של בקרות ניהול דפדפן
בנוסף ליכולות הריגול שלו, התוסף מפעיל את התכונה 'מנוהל על ידי הארגון שלך' של הדפדפן. בנסיבות רגילות, הגדרה זו מציינת שדפדפן נשלט על ידי מנהל רשמי, כמו בסביבה ארגונית.
על ידי שימוש לרעה בתכונה זו, התוכנה הזדונית יכולה להגביל את בקרת המשתמש, למנוע שיטות הסרה סטנדרטיות ולהגביל את הגישה להגדרות הדפדפן. טקטיקה זו עוזרת לתוסף הזדוני לשמור על עמידות ולהישאר בלתי מזוהה למשך תקופות ממושכות.
איום מתמשך ובעל סיכון גבוה
התוסף המזויף Google Docs Offline מהווה סיכון סייבר חמור בשל יכולתו להסוות את עצמו, לנטר פעילות משתמשים ולגנוב נתונים רגישים ביותר. שיטות ההתקנה החשאיות ומנגנוני ההתמדה שלו הופכים אותו למסוכן במיוחד.
אם התגלה, יש להסיר את ההרחבה וכל רכיב זדוני קשור באופן מיידי כדי למנוע גניבת נתונים מתמשכת ופגיעה אפשרית לטווח ארוך.
