Лажно проширење за Google документе ван мреже
Лажна екстензија Google Docs Offline је злонамерни додатак за прегледач дизајниран да изгледа као легитиман алат. Прерушен у поуздану Google услугу, она је заправо део шире кампање сајбер напада познате као GlassWorm. Ова екстензија не инсталира директно корисник; уместо тога, она се тихо убризгава у прегледач путем постојећег малвера путем злонамерног скрипта. Једном када се појави, она се стапа са легитимним екстензијама, што отежава откривање.
Преглед садржаја
Тиха инфилтрација кроз ланчане нападе
Ова претња се шири путем софистицираног ланчаног напада који користи компромитоване платформе као што су GitHub репозиторијуми, npm пакети и продавнице екстензија прегледача. Сајбер криминалци који стоје иза GlassWorm-а уграђују штетни код у наизглед легитимне софтверске пројекте или ажурирања, чинећи их безбедним.
Када корисници инсталирају или ажурирају заражени софтвер, скривени код се активира у позадини и убризгава лажну екстензију у прегледач. У неким случајевима, злонамерни софтвер се испоручује путем обмањујућих механизама ажурирања који веома подсећају на званичне процесе, што додатно повећава вероватноћу успешне инфекције.
Потпуни надзор прегледача и прикупљање података
Једном инсталирано, лажно проширење функционише као тројански вирус за удаљену администрацију (RAT), дајући нападачима широку контролу над активностима прегледача. Способно је да прикупља широк спектар осетљивих информација, укључујући:
- Притисци тастера, укључујући податке за пријаву и уносе у формуларе
- Колачићи и подаци о активној сесији са веб локација
- Комплетан код активних картица прегледача
- Снимци екрана отворених страница
- Садржај међуспремника и сачувани обележивачи
- Историја прегледања (до 5000 уноса)
- Детаљи о уређају и прегледачу, укључујући хардвер и податке о GPU/WebGL-у
- Информације о инсталираним екстензијама прегледача
Сви прикупљени подаци се групишу и преносе сајбер криминалцима, често без икаквих видљивих знакова за жртву.
Озбиљне последице по личну и корпоративну безбедност
Ниво приступа који додељује ово злонамерно проширење доводи у опасност широк спектар осетљивих података. Могу бити изложени приватни имејлови, поруке, документи и други лични подаци. Финансијске активности су посебно рањиве, укључујући сесије онлајн банкарства, детаље плаћања и криптовалутне рачуне којима се приступа преко прегледача.
Нападачи могу да искористе ове податке за отимање налога, крађу средстава, лажно представљање корисника и извођење даљих злонамерних операција. Када се инсталира на пословном уређају, утицај може ескалирати у потпуни пропуст у корпоративну безбедност, потенцијално угрожавајући интерне системе и поверљиве пословне податке.
Злоупотреба контрола за управљање прегледачем
Поред могућности шпијунирања, екстензија манипулише функцијом прегледача „Управља ваша организација“. У нормалним околностима, ово подешавање указује на то да прегледачем управља званични администратор, као што је случај у корпоративном окружењу.
Злоупотребом ове функције, злонамерни софтвер може ограничити контролу корисника, спречити стандардне методе уклањања и ограничити приступ подешавањима прегледача. Ова тактика помаже злонамерном проширењу да одржи постојаност и остане неоткривено током дужег периода.
Упорна и високоризична претња
Лажна екстензија Google Docs Offline представља озбиљан ризик по сајбер безбедност због своје способности да се прикрије, прати активности корисника и краде веома осетљиве податке. Њене прикривене методе инсталације и механизми постојаности чине је посебно опасном.
Уколико се открије, екстензија и све повезане злонамерне компоненте морају се одмах уклонити како би се спречила крађа података и потенцијално дугорочно угрожавање.
