Wielka wpadka Google. Sklep Chrome zalała fala złośliwego oprogramowania

To miał być bezpieczny bastion dodatków do najpopularniejszej przeglądarki na świecie, a okazał się placem zabaw dla cyberprzestępców. Najnowsze śledztwo ekspertów ds. bezpieczeństwa ujawniło potężną lukę w ekosystemie Google. W oficjalnym sklepie Chrome Web Store odkryto ponad setkę złośliwych rozszerzeń. Nie tylko kradną dane, ale potrafią przejąć całkowitą kontrolę nad Twoimi kontami społecznościowymi i bankowymi.

Skala problemu: Google znów nie radzi sobie z weryfikacją

Analiza przeprowadzona przez firmę bezpieczeństwa Socket rzuca ponure światło na skuteczność wewnętrznych systemów kontroli giganta z Mountain View. Wygląda na to, że procesy weryfikacyjne Google są zwyczajnie niewystarczające, by powstrzymać zdeterminowanych hakerów. Badacze odkryli, że zainfekowane dodatki nie są dziełem amatorów, lecz elementem szeroko zakrojonej, skoordynowanej kampanii, zarządzanej z jednej, potężnej infrastruktury serwerowej.

Napastnicy działali wyjątkowo sprytnie, publikując swoje programy pod płaszczykiem pięciu różnych tożsamości deweloperskich. Aby dotrzeć do jak największej liczby ofiar, złośliwy kod ukryto w popularnych kategoriach: od symulatorów hazardowych (automaty, Keno), przez narzędzia do bocznego paska Telegrama, aż po wtyczki rzekomo „ulepszające” korzystanie z TikToka czy YouTube’a.

Jak działają cyfrowi złodzieje? Mechanizm ataku

W sercu tej operacji leży infrastruktura oparta na wirtualnych serwerach firmy Contabo. To stąd płyną rozkazy do zainstalowanych w naszych przeglądarkach „koni trojańskich”. Największe zagrożenie stanowi kradzież tzw. tokenów OAuth2. Są to cyfrowe klucze, które pozwalają aplikacjom działać w imieniu użytkownika bez konieczności ciągłego wpisywania hasła.

Jeśli haker przejmie taki token, w połączeniu z adresem e-mail i numerem konta, zyskuje niemal nieograniczony dostęp do Twojego ekosystemu Google. Co gorsza, niektóre rozszerzenia do Chrome potrafią aktywnie manipulować interfejsem przeglądarki (wstrzykując własny kod). Mogą też uruchamiać ukryte funkcje w tle, bez jakiejkolwiek wiedzy właściciela komputera.

Cel numer jeden: Przejęcie Twojego Telegrama

Szczególny niepokój budzi moduł wymierzony w użytkowników Telegram Web. Eksperci z Socket odkryli kod, który pozwala na odczytywanie, a nawet całkowite podmienianie aktywnych sesji komunikatora. Oznacza to, że cyberprzestępca może po cichu wyrzucić Cię z Twojego własnego konta i przejąć nad nim kontrolę, czytając prywatne wiadomości i wysyłając spam do Twoich kontaktów.

Wszystkie tropy w kodzie wskazują na rosyjskojęzyczną strukturę typu Malware-as-a-Service. Najbardziej bulwersujący jest jednak fakt, że mimo oficjalnego zgłoszenia sprawy do Google, wiele z tych niebezpiecznych narzędzi przez długi czas pozostawało dostępnych do pobrania, infekując kolejne urządzenia.

Jak zachować bezpieczeństwo w sieci?

Afera z Chrome Web Store to brutalne przypomnienie, że „oficjalne” nie zawsze oznacza „bezpieczne”. Zanim zainstalujesz kolejne rozszerzenie, sprawdź opinie, liczbę pobrań i przede wszystkim – zastanów się, czy prosta wtyczka do pogody naprawdę potrzebuje dostępu do wszystkich danych na odwiedzanych przez Ciebie stronach. Regularne przeglądanie listy zainstalowanych dodatków i usuwanie tych nieużywanych to dziś absolutna podstawa cyfrowej higieny.