Хакери використовують розширення Google Chrome; Flash Player; НЕВИЩИМ ВИКАТИ ДАНІ КНИГ

Автор: AntoniaHendrik/Дата публікації: 18-01-2019 18:01

chrome

Приховане розширення поширюється за допомогою "ін'єкційних атак", тобто "У вас не встановлений Flash, використовуйте це розширення Chrome". Коли користувачі не знають або натискають ці посилання, вони запускають автоматичне перенаправлення на розширення зловмисного програмного забезпечення.

Розширення, створене fbsgang.info, заявляє, що воно є "Flash Reader" і включає функцію в кожен веб-сайт, який відвідує цільовий користувач. Кожного разу, коли він виявляє шаблони кредитних карток, характерні для форматів карток Visa, Mastercard, American Express та Discovery, введених у веб-форму, вони автоматично надсилають їх зловмиснику через запит AJAX (по суті повідомлення, яке безпосередньо спілкується із сервером без переривання відображення або нормальної поведінки активної веб-сторінки).

Викрадена інформація включає ім’я емітента картки, термін дії та коди CVV/CVC.

Хороша новина полягає в тому, що інфекція не є широко поширеною, оскільки було виявлено 400 закладів, а це означає, що охоплення нею обмежене.

На початку цього року ElevenPaths від Cybersecurity попереджав про Google, але порушене розширення донедавна було у Веб-магазині. Коли його було виявлено, це розширення було встановлено 400 разів. Досі інфраструктура не була широко розповсюджена.

Як воно поширюється?

Замість того, щоб націлювати жертв за допомогою обшуків або масових листів - що зробило б цю кампанію набагато успішнішою, але в той же час набагато більш «виявленою» - зловмисники обрали інший метод: зараження веб-сайтів за допомогою JavaScript, який може визначити, чи є ваш браузер Chrome. У такому випадку вони переспрямовують лише на веб-сайт, повідомляючи користувачам, що їм потрібно встановити Flash, а потім вони перенаправляються на це розширення. На наступному зображенні ви можете побачити фрагмент JavaScript, введений на веб-сайтах.

Іншими словами, це вимагає від користувачів встановлення Adobe Flash або перенаправлення їх на ринок розширень Chrome (особливо до розширення, яке я помітив на початку). Серед веб-сайтів ми рекомендуємо шукати JavaScript із наведеною вище структурою, щоб побачити, чи не заражений хтось із них. Навіть якщо атака, здається, була "зупинена", розширення все одно є серйозною загрозою. Має свій хеш: 4d2efd3eebcae2b26ad3009915c6ef0cf69a0ebf .

Наші рекомендації

"Учасники Форуму політичного діалогу в Лівії домовились про організацію національних виборів

Радник мав би піти до кінця року, але він ...