Новий тренд кібератак - "Шпигун в браузері" (шкідливе розширення Google Chrome)

1. Механізм живучості (persistence)
2. Корисне навантаження (payload)
3. Шпигунська активність
4. рекламна активність

Наша взаимовыгодная связь https://banwar.org/

Дана стаття підготовлена командою вірусних аналітиків компанії T & T Security, T & T RE Team {Arny, Cyberhunter, Griner}

У 2014 році Google вперше вилучив шкідливі розширення для браузера Chrome зі свого інтернет-магазину. З тих пір тенденція створення шкідливих програм або розширень для Chrome набирає обертів. Атаки даного типу вкрай зручні для зловмисника через те, що багато користувачів використовують синхронізацію браузера Chrome. Це забезпечує автоматичну установку розширення на всі комп'ютери користувача в будь-яких операційних системах (Windows, Mac OS і т.д.). Інша перевага даної атаки - це можливість розробки розширення на основі Javascript-коду, виконання якого відбувається у фоновому режимі, у всіх браузерах Chrome користувача, на всіх його пристроях.

Нещодавно нашу команду навели на підозріле розширення - "Безпека GOOGLE", яке все ще було доступно на офіційному інтернет-магазині Google Chrome. Первинне дослідження вказало на те, що дане розширення має в собі шпигунську функціональність. Нас зацікавив той факт, що на момент дослідження розширення за тиждень досягло вже майже 11 000 завантажень.

Подібну атаку описали фахівці компанії Malwarebytes на початку 2016 року. Це був підроблений веб-калькулятор. Автори вказали на візуальні недоліки сторінки шкідливого програми в інтернет-магазині, такі як відсутність скриншота і відгуків. Січнева атака, описана Malwarebytes, досягла менш ніж 1000 завантажень перед тим, як шкідливий додаток було вилучено з сайту Google. Нова ж атака показує явний прогрес в ефективності і скритності, що вже забезпечило багаторазовий приріст в кількості завантажень.

Чому нова атака змогла вразити в десять разів більше користувачів, ніж попередня? Відповідь криється в декількох причинах: агресивний і ефективний метод поширення, маскування шкідливої ​​активності і наявність механізму живучості (захист від відсилання скарг користувачів в інтернет-магазин).

При поширенні даного шкідливого розширення використовується техніка управління страхом (fear mongering) і при цьому користувач думає, що завантажує спеціальне рішення з безпеки від довіреної провайдера - Google. Даний підхід використовується ще з минулого десятиліття і має на увазі поширення шкідливих програм під виглядом підробленого антивіруса, так званий Fake AV. Однак, за нашим досвідом, підхід управління страхом вперше використовується для розповсюдження шкідливих розширень для браузера.

При цьому для заманювання на сайт зловмисників використовуються прийоми шкідливої ​​реклами (malvertising), які мають на увазі ін'єкцію посилань-переходів на шкідливі сайти в легітимну мережу онлайн реклами. Дана атака орієнтувалася в основному на російськомовний сегмент, як видно на скріншоті нижче. Шкідлива реклама повідомляє користувача про загрозу і "настійно" рекомендує встановити рішення з безпеки від Google. Оскільки задіяна справжня рекламна мережа, то дані шкідливі повідомлення спливають на легітимних сайтах з великою кількістю відвідувань. На момент написання статті сайт tnt-online.ru вже не видає подібні банери. В принципі подібний підхід є новий виток атаки класу watering hole, який передбачає злом легітимного таргінг сайту і розміщення на ньому посилань на шкідливі сайти, тільки в даному випадку прямої злом не потрібно.

При натисканні на повідомлення відбувається перехід на сайт зловмисників, який виглядає як Лендінгем-сторінка на інтернет-магазині Google. При більш уважному розгляді URL-адреси видно, що домен не має відношення до Google і це банальний фішингових сайтів магазину. Дана фейк-сторінка присвячена розширенню "Інструмент безпеки Google". Як видно з скріншоту, зловмисники намагаються зіграти на асоціації з реальним додатком "Інструмент очищення Chrome" для того, щоб мінімізувати підозра з боку жертви. При цьому зазначено, що нібито більше 4 мільйонів користувачів вже встановили розширення.

Варто зазначити, що даний сайт має глобально-довірений SSL-СЕРТФІКАТА, виданий за кілька днів від дня початку атаки. Користувачі звикли до того, що легітимні сайти мають сертифікат, про що свідчить значок зеленого замочка, розташований лівіше від URL, при цьому, вони вважають, що шкідливі сайти його не мають.

Але, в даний час, можна отримати безкоштовний (пробний) сертифікат SSL на кілька місяців.

В результаті сьогодні будь-який зловмисник може без особливих зусиль отримати довірений сертифікат навіть від таких серйозних провайдерів, як Comodo. З іншого боку, користувачі поки що довіряють зелененькому замочку в кутку браузера. Як результат, багато атак відбуваються через підписані сайти, що дозволяє збільшити шанси на успіх.

Використання в описуваної атаці сертифіката показує, що діючі в даний час процедури перевірки відомостей при видачі сертифіката не завжди є суттєвою перешкодою на шляху зловмисників. Можливо, для забезпечення безпеки користувачів необхідно доповнити методики перевірки наданих даних і знизити рівень довіри, який присвоюється пробним або безкоштовним сертифікатами.

Якщо на фейк-сторінці натиснути на кнопку "встановити", то відбувається перехід вже на реальний інтернет-магазин Google. Звичайно, перехід на дане розширення може відбутися і без проміжного сайту. Однак при побіжному погляді на сторінку розширення можна помітити дивну доменне ім'я виробника http://com.notifications-883297213523023723.center.

При відвідуванні даного сайту видно, що це просто пустишка з фоновою картинкою, що виглядає як запаркований домен. Очевидно, що протокол перевірки виробників додатків компанією Google не вимагає наявності хоч якогось наповнення сайту виробника. При установці шкідливе розширення запитує стандартний набір дозволів, який запитують багато додатків.

Функціонально розширення не містить чогось концептуально нового, активність досить характерна для подібних шкідливих об'єктів: захист від видалення користувачем, крадіжка пароля від Вконтакте і показ спливаючих вікон з рекламою. При цьому розширення не потребує високих привілеїв при установці і не викликає підозр у звичайного користувача. Саме орієнтованість на простий неагресивний функціонал, такий як тиха крадіжка пароля, дозволила шкідливому розширенню залишатися непоміченим протягом тижня і досягти показника майже в 11 000 завантажень.

Слід зазначити, що зловмисники зробили спробу замаскувати завантаження бойового (шкідливого) скрипта і подальшу передачу пароля шляхом використання домену з назвою, схожим з легітимним доменом "google-analytics.com". Дана маскування, при поверхневому огляді, може ввести в оману навіть просунутого користувача. Крім того зловмисники використовували легітимний SSL сертифікат для підпису свого сайту завантаження. Слід зазначити, що сертифікат виданий глобальним провайдером Comodo і дійсний з грудня 2015 року. Можливо, даний домен вже неодноразово використовувався в подібних атаках, які так і не були помічені.

Механізм живучості (persistence)

Живучість розширення забезпечується блокуванням відкриття вкладки розширення і сторінки з відгуками про даний розширенні в Chrome Web Store. Блокування відгуків дозволяє запобігти можливості користувачів повідомити в Google про підозри у шкідливості розширення, що продовжує життєвий цикл шкідливий. Блокування реалізується простою функцією перевірки рядка запиту, яка виконується щоразу при оновленні або створення нової вкладки.

Суть даного коду полягає у відображенні вкладки "Налаштування" браузера Google Chrome в той момент, коли користувач запитує вище зазначені сторінки.

Корисне навантаження (payload)

Корисне навантаження розширення подгружается в процесі роботи: при завантаженні будь-якої сторінки відбувається завантаження коду, який завантажує скрипт з шкідливим функціоналом. Нижче наводиться скріншот браузера на сторінці авторизації на порталі Вконтакте. Тут показані завантажені скрипти, вони йдуть відразу після набору призначених для користувача даних в той час, коли ще на натиснута кнопка "Увійти". Як видно, вже завантажено порожній SVG зображення, яке довантажити бойової скрипт fd.js.

Нижче наводиться фрагмент базового скрипта розширення, де видно звернення до сервера доставки шкідливих скриптів під виглядом завантаження векторного зображення формату SVG.

Від сервера доставки приходить наступний файл SVG, що містить код подгрузки бойового скрипта (fd.js)

Скрипт за адресою https://analyticsgoog.net/htmlchecker/fd/fd.js містить всю корисну навантаження. В даному випадку - це шпигунська активність (крадіжка паролів Вконтакте) і показ реклами на всіх сайтах, крім тих, які потрапляють в список виключень.

Шпигунська активність

Крадіжка пароля соціальної мережі відбувається тільки за умови вдалого входу і наявності заповненого поля з логіном в локальному сховищі, відсіваючи невдалі спроби. Локальна пам'ять заповнюється шляхом отримання даних з відповідних полів введення. Нижче наводиться скріншот браузера на сторінці порталу Вконтакте відразу після авторизації. Як видно, після того, як користувач натиснув кнопку "Увійти", шкідливий скрипт відправляє дані на сервер (IP-адреса 82.118.236.89) у вигляді стандартного GET-запиту, в параметрах якого записані ім'я користувача і пароль.

Нижче наведені фрагменти шкідливого скрипта fd.js, завантаженого з сервера доставки, які забезпечують описану шпигунську активність.

Скрипт запускає свій функціонал тільки при відвідуванні домену vk.com. Далі відбувається установка обробників подій: натискання клавіші "ENTER" і кнопки входу в акаунт. При спрацьовуванні даних подій відбувається збір даних в локальне сховище, що дозволяє зберегти локально ім'я користувача і пароль при першій спробі входу в соціальну мережу.

При відкритті кожної сторінки скрипт перевіряє, стався чи вхід в соціальну мережу. Якщо користувач справив логін, то скрипт створює прихований віддалений елемент зображення, при цьому URL зображення вказує на адресу http://nsportal.online/vk.com/logger.php і містить в собі логін користувача і його пароль. Таким чином, при подальшій прогрузкі сторінки вкрадені дані відправляються GET-параметрами (email і pass) на сервер зловмисників.

рекламна активність

Певне, у зловмисників є повнофункціональна банерна система, здатна не тільки отримувати інформацію про показаних банерах, а й збирати повні дані про клієнтську сесії користувача. Тут збирається повний список мета-даних (наприклад kewords, ідентифікація автора, параметри індексації сторінки і т.д.). Крім того, йде з'їм системних і сесійних даних, в тому числі таких, як: час / дата, cookie, URL і дані про версію броузера.

Скрипт виведення банерів містить список винятків. У списку доменів, які були виключені для показу реклами, містяться часто використовувані в нашому регіоні. Мабуть, цим зловмисник сподівається викликати менше підозр і дозволити працювати зі звичними сервісами як зазвичай. Нижче приводиться список доменів для виключення з показу реклами.

До моменту публікації статті автори вже кілька разів повідомляли інтернет-магазин Chrome про знайдений шкідливий розширенні. На жаль, розширення поки все ще є для завантаження.

Описана атака є хорошим прикладом нового тренда доступного і дешевого способу поширення шкідливого коду. Саме орієнтованість на додатки відомого браузера дозволяє зловмисників проводити атаки, які на сьогоднішній день малопомітні для локальних систем захисту (антивіруси).

Слід зазначити, що Google робить кроки до посилення заходів безпеки для Chrome додатків. Зокрема, починаючи з 15 липня 2016 року, в рамках нової політики по призначених для користувача даних додаток має повідомляти користувача про звернення до його приватним даними. Звичайно, такі заходи можуть допомогти усунути ненавмисну ​​витік даних. Однак в разі навмисної динамічної підвантаження шкідливого коду, як це було зроблено в описаній атаці, ефективність цих методів залишається під питанням. Після вступу в силу нових обмежень від Chrome Web Store, команда T & T Security проведе додаткове дослідження на предмет принципову можливість створення шкідливих розширень для браузера при нових умовах. Чекайте нові статті!