Server SecurityAffairs upozorňuje na další ohrožení bezpečnosti uživatelů přes rozšíření jejich prohlížečů. Mezi rozšířeními pro prohlížeč Chrome totiž byla objevena čtyři, která jsou vzdáleně řízena a mají schopnost spouštět libovolný kód. Jedná se o:
- Change HTTP Request Header
- Nyoogle – Custom Logo for Google
- Lite Bookmarks
- Stickies Chrome’s Post-it Notes
Rozšíření samotná neobsahují žádný škodlivý kód, ale žádají o oprávnění „unsafe-eval“, které jim pak dovoluje zpracovávat JSON a spouštět libovolný javascriptový kód. Rozšíření se pomocí funkce update_presets()
připojují na řídicí server change-request[.]info
, od kterého očekávají příkazy. Jakmile je příkaz přijat, otevře se WebSocket tunel na stejnou doménu a počítač oběti je pak používán jako proxy.
Podle dosavadních pozorování se zdá, že jsou napadené počítače zneužívány k navštěvování reklamních webů, kde simulují uživatelské akce související s reklamou. Tato rozšíření má nainstalováno přibližně půl milionu uživatelů. Zajímavé je, že se rozšíření brání odhalení tím, že pokud uživatel spustí ladicí nástroje prohlížeče ( chrome://inspect/
nebo chrome://net-internals/
), prohlížeč přestane dočasně se svou aktivitou, aby jeho kód nebyl ve stránce vidět.