Будьте обережні з розширеннями браузера

В даний час розширення браузера можуть стати серйозним слабким місцем у системі безпеки, якщо на них не звертати належної уваги. Проблема полягає в шкідливих розширеннях, які заслуговують пильної уваги. Шкідливі розширення можуть спритно атакувати ланцюжки поставок, використовуючи методи маскування та приховуючи атаки. Після цього стає важко виявити кібератаку та захиститися від неї.

Багато розширень не потребують спеціального дозволу для запуску на мобільному телефоні або комп'ютері. Інструменти розширень є потужними, і вони мають таку ж здатність, як і будь-який обліковий запис користувача, отримувати доступ до даних у браузері, який потрапляє в сеанс користувача. Іноді люди встановлюють розширення імпульсивно. Вони натикаються на веб-сторінки, які пропонують найкращий перегляд за допомогою розширень, і, не замислюючись, натискають на них.

Експлуатація браузерних розширень

Браузерні розширення є чорним ходом для ботнетів. Це шкідливе програмне забезпечення заражає систему за допомогою однієї віддаленої контрольованої атаки на комп'ютерну мережу. Бот – це шкідлива програма, яка дистанційно керується зловмисником та заражає комп'ютер, виконуючи його команди. Такий тип зловмисника відомий як bot-herder, а кожна машина під керуванням цього зловмисника називається ботом. З централізованого пункту зловмисник може здійснювати одночасно скоординовані злочинні дії. Це дозволяє зловмиснику здійснювати великомасштабні дії, які раніше були неможливі під час використання однієї шкідливої ​​програми.

Віддалені зловмисники, які контролюють бот-мережі, забезпечують зараженим машинам можливість отримувати оновлення та змінювати свою поведінку на ходу. Це дозволяє бот-гердерам здавати сегменти ботнета в оренду іншим хакерам на чорному ринку і отримувати фінансовий прибуток.

Вищеописаний сценарій нещодавно став відомим, коли сінгапурська компанія Infatica. jio здала в оренду ботнет-доступ до 10 мільйонів веб-браузерів, щоб ці клієнти могли приховати свою справжню особу або IP-адресу в Інтернеті. Ця дія означає використання коду розширення браузера у своїх роботах.

Informatica продемонструвала, як тіньові компанії впливають на розробників, щоб ті підтримували розширення браузерів популярних програм, таких як Google, Microsoft, Apple і Mozilla. Вони спонукають користувачів завантажувати розширення на свої настільні комп'ютери та мобільні пристрої, щоб покращити роботу у браузері.

Багато з цих розширень завоювали мільйони користувачів. Але головна проблема полягає в тому, що зі збільшенням кількості користувачів їх важко підтримувати частими оновленнями програмного забезпечення. Відповідь на запит користувача про підтримку займає у розробника багато часу. Розробники розширень не мають великих можливостей для отримання фінансової компенсації за виконану ними роботу. Тому коли від компанії, що займається ботнетами, надходить вигідна пропозиція або придбати розширення, або заплатити розробнику за включення їхнього коду за певну плату, таку пропозицію важко ігнорувати.

Такі компанії, як Infatica, шукають розробників розширень із 50000+ користувачами. Якщо розробник розширення погоджується увімкнути код Infatica, він отримує від $15 до $45 щомісяця за кожну тисячу користувачів. Ця сума може стати суттєвим та постійним доходом щомісяця.

Деякі з поширених дій ботнету:

• Спам електронною поштою все ще в моді сьогодні, що є відомою обраною лінією атаки. Ботнети спаму мають великі розміри і використовуються в основному для масового розсилання спаму електронною поштою, який часто включає шкідливе ПЗ. Кожен бот може мати величезну кількість спаму. Наприклад, ботнет "Cutwail" може розсилати до 74 білінгових повідомлень на день. Крім розсилки спам-повідомлень, вони також використовуються для вербування нових комп'ютерів у мережу ботів.
• DDoS-атаки на організації з метою викупу використовуються для використання ботнету великих масштабів на мережі чи сервері, роблячи його недоступним для початкових користувачів. Вони розшифровують його лише після отримання викупу.
• Фінансові ботнети, такі як ботнет "Zeus", використовуються для злому банківських рахунків або крадіжки інформації про кредитні картки. Таке фінансове розкрадання є прямим, і мільйони доларів швидко викрадають з декількох рахунків одночасно.

Ланцюжок постачання – ще один сектор, який став мішенню для зловмисників. Нещодавно епізод із SolarWinds став великою новиною. Компанія FireEye, що займається кібербезпекою, виявила, що зловмисники отримали доступ до численних державних та приватних організацій по всьому світу.

Вони троянізували програмне забезпечення для моніторингу та управління ІТ Orion компанії SolarWinds під назвою SUNBURST і дісталися жертв. Компрометація ланцюжка поставок включала крадіжку даних та бічне переміщення. Висококваліфіковані фахівці провели кампанію з усунення даного витоку даних з гарною оперативністю та забезпечили подальшу безпеку роботи системи компанії.

Кіберзлочинці шукають застарілі розширення браузерів для компрометації. Вони використовують занедбані та невикористовувані розширення як розповсюджувачі шкідливого ПЗ, встановлюючи спеціальні бекдори в код розширення. Вони або купують його в оригінальних розробників, або платять за встановлення кодів. Багато популярних розширень для браузерів не оновлювалися роками.

Компанія Avast, що спеціалізується на кібербезпеці, опублікувала звіт, в якому розповіла, як зловмисники маніпулюють зловмисними розширеннями браузерів. Avast відстежив розширення, відоме як Cache Flow, яке працює поверх трафіку Google Analytics, щоб приховати свої мережеві операції. Це дає можливість передавати зловмисникам дані про користувачів, отримані в результаті аналізу даних.

Безпека розширення

Компанія Google усвідомила загрозу, яка походить від розширення Cache flow. Щоб захистити себе, вона почала обмежувати способи встановлення розширень користувачами. З 2018 року процес отримання браузера з чийогось сайту був заблокований, і єдиним безпечним і легітимним способом отримати розширення став Google Chrome Web Store. Google слідкує за розширеннями на своїй вітрині. Він автоматично розсилає останні оновлення, а коли виявляє, що розширення скомпрометовано, видаляє його.

Перевірити та подивитися, які розширення використовуються системою, можна, натиснувши на колонку з трьома точками, яка з'являється у верхньому правому куті браузера. Вибравши опцію "Додаткові інструменти" в меню, а потім "Розширення". Ви побачите, які розширення були встановлені та їх докладну інформацію. Потім можна вирішити, чи обмежити розширення певним веб-сайтом або видалити будь-яке з них, якщо воно невпізнанне.

Експерти з кібербезпеки зазначають, що не слід погоджуватися на оновлення розширення, якщо воно раптом запросить більше дозволів, ніж попередня версія. Такий запит може бути тривожним сигналом.

Висновок

Надалі слід бути обережним під час встановлення розширень для браузерів; краще залишатися з тими, що активно підтримуються, скажімо, магазином Google play. Ще один спосіб захисту – використання Avast Secure Browser, заснованого на коді Chrome та доступного для платформ Windows, Mac, а також мобільних пристроїв Android та iOS. Цей браузер поставляється зі спеціальними налаштуваннями захисту розширень, які блокують отримання нових розширень.