Фальшиве розширення Google Docs Offline
Підроблене розширення Google Docs Offline – це шкідливе доповнення для браузера, розроблене під виглядом легітимного інструменту. Замасковане під надійний сервіс Google, воно насправді є частиною ширшої кампанії кібератак, відомої як GlassWorm. Це розширення не встановлюється користувачем безпосередньо; натомість воно непомітно вводиться в браузер вже існуючим шкідливим програмним забезпеченням за допомогою шкідливого скрипта. Після появи воно змішується з легітимними розширеннями, що ускладнює його виявлення.
Зміст
Тиха інфільтрація через ланцюгові атаки
Ця загроза поширюється через складну ланцюгову атаку, яка використовує скомпрометовані платформи, такі як репозиторії GitHub, npm-пакети та сховища розширень браузера. Кіберзлочинці, що стоять за GlassWorm, вбудовують шкідливий код у, здавалося б, легітимні програмні проекти або оновлення, роблячи їх безпечними.
Коли користувачі встановлюють або оновлюють заражене програмне забезпечення, прихований код активується у фоновому режимі та впроваджує фальшиве розширення у браузер. У деяких випадках шкідливе програмне забезпечення поширюється через оманливі механізми оновлення, які дуже нагадують офіційні процеси, що ще більше збільшує ймовірність успішного зараження.
Повне спостереження за браузером та збір даних
Після встановлення фальшиве розширення працює як троян віддаленого адміністрування (RAT), надаючи зловмисникам широкий контроль над активністю браузера. Воно здатне збирати широкий спектр конфіденційної інформації, зокрема:
- Натискання клавіш, включаючи облікові дані для входу та дані форми
- Файли cookie та дані активного сеансу з веб-сайтів
- Повний код активних вкладок браузера
- Знімки екрана відкритих сторінок
- Вміст буфера обміну та збережені закладки
- Історія переглядів (до 5000 записів)
- Відомості про пристрій та браузер, включаючи апаратне забезпечення та дані GPU/WebGL
- Інформація про встановлені розширення браузера
Усі зібрані дані об’єднуються та передаються кіберзлочинцям, часто без будь-яких видимих ознак для жертви.
Серйозні наслідки для особистої та корпоративної безпеки
Рівень доступу, що надається цим шкідливим розширенням, наражає на ризик широкий спектр конфіденційних даних. Можуть бути розкриті приватні електронні листи, повідомлення, документи та інша особиста інформація. Особливо вразлива фінансова діяльність, включаючи сеанси онлайн-банкінгу, платіжні реквізити та криптовалютні рахунки, до яких здійснюється доступ через браузер.
Зловмисники можуть використовувати ці дані для захоплення облікових записів, крадіжки коштів, видавання себе за інших користувачів та здійснення подальших шкідливих операцій. Встановлення на робочому пристрої може призвести до повномасштабного порушення корпоративної безпеки, що потенційно може поставити під загрозу внутрішні системи та конфіденційні бізнес-дані.
Зловживання елементами керування браузером
Окрім можливостей шпигунства, розширення маніпулює функцією браузера «Керується вашою організацією». За звичайних обставин цей параметр вказує на те, що браузером керує офіційний адміністратор, наприклад, у корпоративному середовищі.
Зловживаючи цією функцією, шкідливе програмне забезпечення може обмежувати контроль користувача, перешкоджати стандартним методам видалення та обмежувати доступ до налаштувань браузера. Ця тактика допомагає шкідливому розширенню підтримувати стійкість та залишатися непоміченим протягом тривалого часу.
Постійна та високоризикова загроза
Підроблене розширення Google Docs Offline становить серйозну кіберзагрозу через свою здатність маскуватися, відстежувати активність користувачів та красти конфіденційні дані. Його приховані методи встановлення та механізми збереження роблять його особливо небезпечним.
У разі виявлення розширення та будь-які пов'язані з ним шкідливі компоненти необхідно негайно видалити, щоб запобігти подальшій крадіжці даних та потенційній довгостроковій компрометації.
