Зловредно разширение в Google Chrome може да открадне ваши ценни данни
Хакери могат да злоупотребяват с функцията за синхронизиране на Google Chrome, за да изпращат команди до заразени браузъри и да крадат данни от заразени системи, заобикаляйки традиционните защитни стени и други мрежови защити.
Синхронизирането на Chrome е функция на уеб браузъра, която съхранява копия на потребителски отметки, история на сърфиране, пароли и настройки на браузъра. Използва се за синхронизиране на данните между различните ви устройства, така че те винаги да имат достъп до актуалните данни, където и да отидете.
Хърватският изследовател Боян Здраня е открил, по време на разследване на инцидент, че злонамерено разширение на Chrome злоупотребява с функцията за синхронизиране: При комуникация със сървър за отдалечено управление (C&C) се използва за извличане на данни от заразени браузъри.
В случая, разследван от Здраня, нападателите са получили достъп до компютъра на жертвата и тъй като данните, които са искали да откраднат, са били в облачен акаунт, те са изтеглили разширение за Chrome на компютъра и са го заредили чрез режима за разработчици на браузъра.
Именно разширението, което се представя като добавка за сигурност от разработчика на Forcepoint, съдържа злонамерен код, който злоупотребява с функцията за синхронизиране на Chrome и позволява на нападателите да контролират заразения браузър.
Злонамерената добавка помага на нападателите да създадат текстово-базирано поле за съхраняване на ключове с маркери, което впоследствие да бъде синхронизирано с облачните сървъри на Google. След това е достатъчно да се влезе със същия акаунт от Google в друг браузър Chrome и с инфраструктурата на Google с злоупотребено.
В ключовото поле може да са съхраняват данни, събрани от зловредното разширение за заразения браузър (потребителски имена, пароли, криптографски ключове и др.) или команди, които нападателят иска разширението да изпълни на заразената работна станция.
По този начин разширението може да се използва като канал за ексфилтрация от вътрешни корпоративни мрежи до копие на браузъра Chrome на атакуващия или като начин за контрол на заразения браузър отдалечено, заобикаляйки корпоративните защитни стени.
Тъй като откраднатото съдържание или последващите команди се изпращат чрез инфраструктурата на Chrome, нито една от тези операции няма да бъде проверена или блокирана в повечето корпоративни мрежи, където на браузъра Chrome обикновено е разрешено да работи и да предава данни безпрепятствено.
Внимание!
Ако планирате да блокирате достъпа до client4.google.com имайте предвид, че това е много важен уебсайт за Chrome, който се използва и за проверка дали Chrome е свързан с интернет (наред с други функции).
Вместо това, можете да използвате корпоративните функции на Chrome и поддръжката на груповите политики, за да блокирате и контролирате какви разширения могат да бъдат инсталирани в браузъра.