Вредоносная активность была обнаружена в исходном коде расширения MEGA для Chrome с номером версии 3.39.4, которое было опубликовано на площадке 4 сентября. Инженеры Google оперативно вмешались и удалили опасный плагин из Интернет-магазина Chrome, а также отключили расширение для существующих пользователей. Всего четыре часа спустя, Mega Limited (MEGA.NZ) выпустила новое чистое расширение с номером версии 3.39.5.
Согласно анализу исходного кода взломанного расширения, вредоносный модуль срабатывал на сайтах Amazon, Google, Microsoft, GitHub, MyEtherWallet, MyMonero, а также на бирже криптовалют IDEX. Вредоносный код перехватывал учетную информацию, пароли и данные сеанса, которые позволяли злоумышленника выдавать себя за пользователей. В случае успешного перехвата закрытого ключа, киберпреступник получал доступ к криптовалютным средствам жертвы. Все собранные данные отправлялись на сервер, размещенный в Украине.
Представитель Mega Limited заявил:
Мы хотели бы принести извинения за данный инцидент. Мы проводим собственное расследование, чтобы выявить схему взлома нашего аккаунта в магазине Chrome.
Чуть позже в блоге компании появилось сообщение, в котором четко прослеживается недовольство мерами безопасности Интернет-магазина Chrome:
К сожалению, Google отказалась от подписей издателей и использует систему автоматической подписи расширений после публикации в магазине Chrome, а данная схема убирает серьезный барьер для внешней компрометации. Наше расширение для Firefox подписано и размещено нами, и поэтому подобный вектор атаки здесь не пройдет. То же самое касается и мобильных приложений, размещенных на площадках Apple/Google/Microsoft - они обладают иммунитетом от таких атак благодаря подписи издателя.
Пользователям расширения MEGA для Chrome рекомендуется убедиться, что вредоносный плагин действительно отключен. Также среди профилактических мер, следует поменять пароли на затронутых сервисах и перенести криптовалюту в другие аккаунты с новыми закрытыми ключами.
В последнее время участились случаи взлома расширений для браузеров. Злоумышленники, как правило используют фишинг-схему для получения доступа к аккаунту разработчика, после чего подменяют легитимное расширение на модифицированную вредоносную копию.
Угрозы безопасности
• Google настоятельно рекомендует отказаться от паролей
• Trend Micro устранила критические уязвимости в Apex Central и Endpoint Encryption
• Mozilla запускает новую систему для обнаружения расширений в Firefox, ворующих криптовалюту
• Qualcomm устранила три эксплуатируемые уязвимости нулевого дня в Adreno GPU
• Утечка данных: в сеть слиты данные 184 миллионов аккаунтов, включая пароли от Google, PayPal и Netflix
• Вредоносные расширения для Chrome крадут данные, маскируясь под Fortinet, YouTube, ИИ-помощники и VPN