Falsk Google Dokumenter Offline-utvidelse

Den falske Google Docs Offline-utvidelsen er et ondsinnet nettlesertillegg som er utformet for å fremstå som et legitimt verktøy. Forkledd som en pålitelig Google-tjeneste, er den faktisk en del av en større cyberangrepskampanje kjent som GlassWorm. Denne utvidelsen installeres ikke direkte av brukeren; i stedet injiseres den stille i nettleseren av eksisterende skadelig programvare gjennom et ondsinnet skript. Når den er til stede, blander den seg med legitime utvidelser, noe som gjør det vanskelig å oppdage den.

Stille infiltrasjon gjennom kjedeangrep

Denne trusselen sprer seg gjennom et sofistikert kjedeangrep som utnytter kompromitterte plattformer som GitHub-repositorier, npm-pakker og nettleserutvidelseslagre. Nettkriminelle bak GlassWorm legger inn skadelig kode i tilsynelatende legitime programvareprosjekter eller oppdateringer, noe som får dem til å virke trygge.

Når brukere installerer eller oppdaterer infisert programvare, aktiveres den skjulte koden i bakgrunnen og injiserer den falske utvidelsen i nettleseren. I noen tilfeller leveres skadevaren gjennom villedende oppdateringsmekanismer som ligner mye på offisielle prosesser, noe som ytterligere øker sannsynligheten for vellykket infeksjon.

Full nettleserovervåking og datainnsamling

Når den falske utvidelsen er installert, fungerer den som en trojaner for ekstern administrasjon (RAT), som gir angripere omfattende kontroll over nettleseraktivitet. Den er i stand til å samle inn et bredt spekter av sensitiv informasjon, inkludert:

• Tastetrykk, inkludert påloggingsinformasjon og skjemainndata
• Informasjonskapsler og data om aktive økter fra nettsteder
• Full kode for aktive nettleserfaner
• Skjermbilder av åpne sider
• Utklippstavlens innhold og lagrede bokmerker
• Nettleserlogg (opptil 5000 oppføringer)
• Enhets- og nettleserdetaljer, inkludert maskinvare- og GPU-/WebGL-data
• Informasjon om installerte nettleserutvidelser

Alle innsamlede data blir samlet og overført til nettkriminelle, ofte uten synlige tegn for offeret.

Alvorlige konsekvenser for personlig og bedriftssikkerhet

Tilgangsnivået som gis av denne ondsinnede utvidelsen setter en rekke sensitive data i fare. Private e-poster, meldinger, dokumenter og annen personlig informasjon kan bli eksponert. Finansiell aktivitet er spesielt sårbar, inkludert nettbankøkter, betalingsdetaljer og kryptovalutakontoer som er tilgjengelige via nettleseren.

Angripere kan utnytte disse dataene til å kapre kontoer, stjele penger, utgi seg for å være brukere og utføre ytterligere ondsinnede operasjoner. Når det installeres på en arbeidsenhet, kan virkningen eskalere til et fullskala sikkerhetsbrudd i bedriften, som potensielt kan kompromittere interne systemer og konfidensielle forretningsdata.

Misbruk av nettleserstyringskontroller

I tillegg til spioneringsmulighetene manipulerer utvidelsen nettleserens funksjon «Administrert av organisasjonen din». Under normale omstendigheter indikerer denne innstillingen at en nettleser kontrolleres av en offisiell administrator, for eksempel i et bedriftsmiljø.

Ved å misbruke denne funksjonen kan skadevaren begrense brukerkontroll, forhindre standard fjerningsmetoder og begrense tilgangen til nettleserinnstillinger. Denne taktikken hjelper den skadelige utvidelsen med å opprettholde varighet og forbli uoppdaget i lengre perioder.

En vedvarende og høyrisikotrussel

Den falske Google Docs Offline-utvidelsen representerer en alvorlig cybersikkerhetsrisiko på grunn av dens evne til å kamuflere seg, overvåke brukeraktivitet og stjele svært sensitive data. Dens snikende installasjonsmetoder og vedvarende mekanismer gjør den spesielt farlig.

Hvis utvidelsen og eventuelle relaterte skadelige komponenter oppdages, må den fjernes umiddelbart for å forhindre fortsatt datatyveri og potensiell langsiktig kompromittering.