Chrome

Google Chrome надгради съществуващата функция Enhanced protection с изкуствен интелект. По този начин браузърът вече предлага защита в реално време срещу зловредни уебсайтове, изтегляния и разширения.

Актуализацията е достъпна за всички платформи след тримесечно тестване в Canary.

Enhanced protection, част от функцията Safe browsing, е налична от години, но вече предлага по-високи нива на сигурност. AI следи за рисковете в реално време и предупреждава потребителите за потенциално опасни сайтове. Той също така извършва задълбочено сканиране за подозрителни изтегляния.

Enhanced protection с AI е изключена по подразбиране. Можете да включите новата функция от от Settings > Security в Windows, Android and iOS.

 

В края на миналата година FreedomOnline съобщи за масивна фишинг кампания, компрометирала най-малко 5 разширения за Google Chrome. Вече е ясно, че броят им е значително по-голям – 35 – като те се използват от приблизително 2,6 милиона потребители. Във всички тях хакерите са инжектирали зловреден код за кражба на чувствителна информация.

Атакуващите са използвали фишинг имейли, маскирани като официални известия от Google Chrome Web Store Developer Support. Чрез тях те са подмамили разработчиците да им предоставят OAuth разрешения за техните проекти. По този начин участниците в заплахата са заобиколили мерките за MFA и са получили възможност да качват нови, компрометирани версии.

Засегнатите разширения варират от популярни инструменти за виртуални частни мрежи (VPN) до приставки за производителност. Злонамереният код отвлича потребителски сесии, бисквитки и идентификационни данни за акаунти в социалните медии. Една от основните цели на кампанията са корпоративни профили с достъп до платени рекламни функции.

Ето го и целият списък със засегнати разширения:

Extension Name	Status	Version / Identifier
Where is Cookie?	Not yet addressed	emedckhdnioeieppmeojgegjfkhdlaeo
Web Mirror	Not yet addressed	eaijffijbobmnonfhilihbejadplhddo
ChatGPT App	Not yet addressed	lbneaaedflankmgmfbmaplggbmjjmbae
Hi AI	Not yet addressed	hmiaoahjllhfgebflooeeefeiafpkfde
Web3Password Manager	Not yet addressed	pdkmmfdfggfpibdjbbghggcllhhainjo
YesCaptcha assistant	Not yet addressed	[email protected]
Bookmark Favicon Changer	Addressed	5.1 / [email protected]
Proxy SwitchyOmega (V3)	Not yet addressed	[email protected]
GraphQL Network Inspector	Addressed	2.22.7 / [email protected]
AI Assistant	Removed from store	bibjgkidgpfbblifamdlkdlhgihmfohh
Bard AI chat	Removed from store	pkgciiiancapdlpcbppfkmeaieppikkk
ChatGPT for Google Meet	Removed from store	epdjhgbipjpbbhoccdeipghoihibnfja
Search Copilot AI Assistant for Chrome	Removed from store	bbdnohkpnbkdkmnkddobeafboooinpla
TinaMind	Addressed	2.14.0 / befflofjcniongenjmbkgkoljhgliihe
Wayin AI	Addressed	0.0.11 / cedgndijpacnfbdggppddacngjfdkaca
VPNCity	Not yet addressed	nnpnnpemnckcfdebeekibpiijlicmpom
Internxt VPN	Addressed	1.2.0 / dpggmcodlahmljkhlmpgpdcffdaoccni
Vidnoz Flex	Removed from store	cplhlgabfijoiabgkigdafklbhhdkahj
VidHelper	Not yet addressed	egmennebgadmncfjafcemlecimkepcle
Castorus	Addressed	4.41 / mnhffkhmpnefgklngfmlndmkimimbphc
Uvoice	Not yet addressed	oaikpkmjciadfpddlpjjdapglcihgdle
Reader Mode	Not yet addressed	fbmlcbhdmilaggedifpihjgkkmdgeljh
ParrotTalks	Not yet addressed	kkodiihpgodmdankclfibbiphjkfdenh
Primus	Addressed	3.20.0 / oeiomhmbaapihbilkfkhmlajkeegnjhe
Keyboard History Recorder	Not yet addressed	igbodamhgjohafcenbcljfegbipdfjpk
ChatGPT Assistant	Not yet addressed	bgejafhieobnfpjlpcjjggoboebonfcg
Reader Mode	Removed from store	llimhhconnjiflfimocjggfjdlmlhblm
Visual Effects for Google Meet	Addressed	3.2.4 / hodiladlefdpcbemnbbcpclbmknkiaem
AI Shop Buddy	Not yet addressed	epikoohpebngmakjinphfiagogjcnddm
Cyberhaven V3 Security Extension	Addressed	pajkjnmeojmbapicmbpliphjmcekeaac
Earny	Not yet addressed	oghbgbkiojdollpjbhbamafmedkeockb
Rewards Search Automator	Not yet addressed	eanofdhdfbcalhflpbdipkjjkoimeeod
Tackker	Addressed	ekpkdmohpdnebfedjjfklhpefgpgaaji
Sort By	Not yet addressed	miglaibdlgminlepgeifekifakochlka
Email Hunter	Not yet addressed	mbindhfolmpijhodmgkloeeppmkhpmhc

Ако използвате някое от тях:

• незабавно деинсталирайте или актуализирайте до поправена версия;
• нулирайте паролите и отменете активните сесии;
• прегледайте личните и служебните си акаунти за необичайна активност.

Разработчиците трябва да бъдат бдителни по отношение на опитите за фишинг и да активират надеждни проверки за сигурност на своите приложения.

Най-малко пет разширения за Chrome са били компрометирани при координирана атака. В нейните рамки нападателите са инжектирали код, който краде чувствителна информация от потребителите.

Една от жертвите е компанията за киберсигурност Cyberhaven. Тя предупреди клиентите си, че е претърпяла успешна фишинг атака срещу администраторски акаунт за магазина на Google Chrome. Хакерът е превзел акаунта на служител и е публикувал злонамерена версия (24.10.4) на разширението Cyberhaven. Тя е включвала код, който може да извлича удостоверения за сесии и бисквитки към домейна на нападателя (cyberhavenext.pro).

Компанията е премахнала зловредния пакет в рамките на един час след откриването му. Чиста версия на разширението – v24.10.5 – е публикувана на 26 декември.

Според Nudge Security списъкът с компрометирани разширения при тази атака включва още:

• Internxt VPN – безплатна VPN услуга за сигурно сърфиране (10 000 потребители);
• VPNCity – фокусирана върху поверителността VPN услуга с 256-битово AES криптиране и глобално покритие (50 000 потребители);
• Uvoice – базирана на награди услуга за печелене на точки чрез проучвания и предоставяне на данни за използването на компютъра (40 000 потребители);
• ParrotTalks – инструмент за търсене на информация, специализиран в писане на текст и водене на бележки (40 000 потребители).

Потребителите на тези разширения трябва или да ги премахнат от браузъра, или да преминат към безопасна версия, публикувана след 26 декември. Ако не сте сигурни, че издателят е научил за проблема и го е отстранил, задължително деинсталирайте разширението. Освен това нулирайте паролите за важни акаунти, изчистите данните на браузъра и възстановете първоначалните му настройки по подразбиране.

Представете си, че се събуждате и установявате, че профилът ви в Google е бил хакнат и нямате достъп до пощенската си кутия в Gmail. За много хора това би бил кошмарен сценарий. А той е съвсем реален. Хакерите вече използват техники за кражба на бисквитките на сесиите в Chrome, за да заобиколят 2FA защитите. 

Решението? Открийте си резервен акаунт в Gmail. 

Истината е, че той няма да ви помогне да се предпазите от самата атака. Той обаче ще смекчи въздействието ѝ, тъй като може да служи като резервно копие на важната и често незаменима информация. 

Как да настроим сигурно резервен акаунт в Gmail 

Тъй като Google предлага Gmail като напълно безплатна уеб базирана имейл платформа, създаването на няколко акаунта е изключително лесно: 

• излезте от профила си в Google;
• отидете на страницата за повторно влизане;
• изберете „Създаване на акаунт“ (Create account). 

За да гарантирате, че този нов акаунт няма да бъде компрометиран при атака срещу първия, използвайте допълнително удостоверяване от различно устройство. 2FA трябва да бъде базирано на самостоятелно приложение за генериране на код, а не чрез SMS на същия телефонен номер, както преди. Също така се опитайте да използвате възможно най-много напълно уникална информация при създаването на новия профил.  

След като създадете акаунта, отидете в настройките на основния и задайте правило за препращане, което да изпраща копие от всички имейли към втория акаунт.  

Нов инструмент демонстрира как хакерите могат да заобиколят защитата срещу кражба на бисквитки на Chrome – App-Bound – и да извлекат запаметените данни. 

Chrome-App-Bound-Encryption-Decryption е разработен от изследователя на киберсигурността Александър Хагена. 

През юли Google представи технологията App-Bound в Chrome 127 като нов механизъм за защита. Тя криптира бисквитките, използвайки услуга на Windows, която работи с привилегиите на ниво операционна система. Целта ѝ е да се защити чувствителната информация от зловреден софтуер, който използва правата на регистрирания потребител. Тя прави невъзможно декриптирането на откраднатите бисквитки, без да се вдигне тревога от софтуера за сигурност. 

Инструментът на Хагена обаче декриптира криптираните App-Bound ключове, съхранявани във файла Local State на Chrome. За целта той използва вътрешната COM-базирана услуга IElevator на Chrome. 

За да се използва той, трябва да се копира изпълнимият файл в директорията на Google Chrome. Тя обикновено се намира в C:\Program Files\Google\Chrome\Application. Тази папка е защитена, така че първо трябва да бъдат получени администраторски права. Но това е лесно постижимо, тъй като много потребители на Windows използват акаунти, които имат такива. 

Подобни методи вече се използват от хакерските групи. Затова избягвайте да съхранявате чувствителни данни в своите браузъри, независимо от уверенията за сигурност на техните производители.  

Кампания на известната хакерска група Lazarus Group разкри нова уязвимост в Google Chrome. Хакерите са използвали zero-day експлойт и инструмента Manuscrypt, за да поемат пълен контрол над заразените системи. 

Тази кампания се отличава от досегашните атаки на групата срещу правителства, финансови институции, платформи за криптовалути и др., тъй като е насочена директно към физически лица. 

От компанията за сигурност Kaspersky са проследили кампанията до фалшив уебсайт – detankzone.com – който се представя за легитимна DeFi гейминг платформа. Играта, рекламирана като NFT мултиплейърна онлайн арена за битки, се оказва фасада за зловреден код. Посетителите задействат експлойта просто като достъпват сайта през Chrome.  

Той е насочен към нововъведена функция във V8 JavaScript енджина на Chrome. Уязвимостта позволява на нападателите да заобиколят механизмите за сигурност на браузъра и да получат дистанционен контрол над засегнатите устройства.  

Хакерски групи като Lazarus продължават да усъвършенства атаките си, използвайки социално инженерство, zero-day eксплойти и легитимно изглеждащи платформи. Затова потребителите трябва да са много внимателни в какви сайтове влизат. Както се вижда от този случай, понякога е достатъчно само да посетите определена страница, за да станете жертва.  

Последиците могат да бъдат изключително сериозни. Само си помислете какво може да означава за вас някой да поеме пълен контрол над компютъра ви. 

Google пусна Chrome 130, в който са отстранени 17 уязвимости в сигурността нa браузърa.

Най-критичната от тях е свързана с AI компонента на Chrome.

Освен това актуализацията отстранява множество уязвимости със средна степен на сериозност – проблеми в Web Authentication, UI, PictureInPicture, DevTools, Dawn и Parcel Tracking.

Препоръчваме ви да актуализирате браузърите си възможно най-бързо. Отидете в настройките, изберете секцията About Chrome и задайте команда на браузъра да провери и инсталира всички налични актуализации.

 

 

Фалшива актуализация за Google Chrome разпространява зловредния софтуер WarmCookie чрез компрометирани уебсайтове. WarmCookie се използва за получаване на достъп до системата на потребителите с Windows и по принцип се разпространява чрез фишинг кампании, свързани с предложения за работа.  

Зловредният софтуер инсталира „задна вратичка“, която позволява както разпространение на повече полезни товари, така и проучване на целевите мрежи. 

WarmCookie краде пръстови отпечатъци, прави снимки на екрана, ексфилтрират откраднати данни, чете и записва файлове и взаимодейства със C&C сървър, за да получава команди. 

За да се предпазите от WarmCookie, проверявайте обстойно надеждността на предлаганите ви актуализации. За най-сигурно използвайте само официални страници, независимо дали става дума за Chrome или за някой друг софтуер. 

Google засилва мерките си за сигурност на Gmail с усъвършенствания си инструмент за изкуствен интелект – Gemini AI. Интеграцията има за цел да подобри възможностите на платформата за засичане на спам и зловреден софтуер. 

С внедряването на Gemini AI Gmail ще забавя леко доставката на имейли, съдържащи прикачени файлове. Те ще бъдат сканирани в защитена виртуална среда, преди да достигнат до пощенските кутии на потребителите.  

В допълнение към процеса на сканиране потребителите на Gmail ще имат достъп до функции за персонализиране, които подобряват възможностите им за филтриране на електронна поща.  

Gemini AI автоматично ще пренасочва подозрителните имейли към папката за спам, предлагайки допълнително ниво на защита срещу злонамерени атаки. Трябва да имате предвид обаче, че AI понякога може да интерпретира погрешно легитимни имейли. Важни съобщения, като банкови извлечения или напомняния за вноски по кредитни карти могат по невнимание да бъдат маркирани като спам въз основа на техните теми. Прехвърлянето им в основната поща ще изисква намесата на потребителя. 

 

Актуализация на известния малуер White Snake се възползва от нова функция в Google Chrome, за да краде критични данни за банкови карти. 

Версия 129 на браузъра, пусната на 17 септември 2024 г., въведе няколко нови функционалности за подобряване на потребителското изживяване, в това число и възможността за съхраняване на CVC (Card Verification Code) на кредитни и дебитни карти. Именно тя е привлякла вниманието на киберпрестъпниците. 

Разработчиците на зловредния софтуер са актуализирали възможностите за извличане на тези CVC кодове от браузърите на жертвите, което ги улеснява при извършването на измами и кражби. 

Очаква се Google да отстрани тази уязвимост, но дотогава потребителите трябва да предприемат активни мерки за защита на финансовата си информация: 

• използвайте двуфакторна автентикация за всички финансови акаунти; 
• обмислете използването на виртуални кредитни карти за онлайн транзакции; 
• редовно проверявайте банковите си извлечения за подозрителна активност; 
• инсталирайте надежден антивирусен софтуер с възможности за засичане на финансови заплахи.