Автор оригинала: команда безопасности 23pds@slowmist

фон

3 июня 2024 года пользователь Twitter @CryptoNakamao сообщил о том, как он скачал вредоносное расширение Chrome Aggr, в результате которого был украден 1 миллион долларов США. Это заставило большинство пользователей криптосообщества обратить внимание на риск расширения и забеспокоиться о нем. безопасность своих криптоактивов. 31 мая команда безопасности SlowMist опубликовала статью «Волк в овечьей шкуре | Анализ поддельного расширения Chrome», в которой представлен подробный анализ злых методов вредоносного расширения Aggr. Ввиду отсутствия у пользователей базовых знаний о расширениях браузера, директор по информационной безопасности SlowMist 23 pds объясняет базовые знания и потенциальные риски расширений с помощью шести вопросов и шести ответов в этой статье, а также дает предложения по устранению рисков расширений, надеясь для помощи отдельным пользователям и транзакциям. Платформа улучшает возможности защиты учетных записей и активов.

(https://x.com/im 23 pds/status/1797528115897626708)

Вопросы и ответы

1. Что такое расширения Chrome?

Расширение Chrome — это плагин, разработанный для Google Chrome, который позволяет расширить функциональность и поведение браузера. Они могут настраивать работу пользователя в Интернете, добавлять новые функции или контент или взаимодействовать с веб-сайтом. Расширения Chrome обычно создаются на основе HTML, CSS, JavaScript и других веб-технологий.

Структура расширения Chrome обычно состоит из следующих частей:

  • Manifest.json: файл конфигурации расширения, который определяет основную информацию о расширении (например, имя, версию, разрешения и т. д.).

  • Фоновые сценарии: запускаются в фоновом режиме браузера для обработки событий и долгосрочных задач.

  • Скрипты контента: выполняются в контексте веб-страниц и могут напрямую взаимодействовать с веб-страницами.

  • Пользовательский интерфейс (UI): например, кнопки панели инструментов браузера, всплывающие окна, страницы параметров и т. д.

2. Что делают расширения Chrome?

  • Блокировка рекламы: расширение блокирует и блокирует рекламу на веб-страницах, улучшая скорость загрузки веб-страниц и удобство для пользователей. Например, AdBlock и uBlock Origin.

  • Конфиденциальность и безопасность. Некоторые расширения могут повысить конфиденциальность и безопасность пользователей, например, предотвращая отслеживание, шифрование сообщений, управление паролями и т. д. Например, Privacy Badger и LastPass.

  • Инструменты повышения производительности. Расширения могут помочь пользователям повысить производительность, например управлять задачами, делать заметки, отслеживать время и т. д. Например, Todoist и Evernote Web Clipper.

  • Инструменты разработчика. Предоставляйте веб-разработчикам инструменты отладки и разработки, такие как просмотр структуры веб-страниц, отладка кода, анализ сетевых запросов и т. д. Например, инструменты разработчика React и Postman.

  • Социальные сети и общение. Расширение может интегрировать социальные сети и инструменты связи, чтобы пользователи могли обрабатывать уведомления, сообщения и т. д. в социальных сетях во время просмотра веб-страниц. Например, Grammarly и Facebook Messenger.

  • Настройка веб-страниц: пользователи могут настраивать внешний вид и поведение веб-страниц с помощью расширений, например, меняя темы, переставляя элементы страницы, добавляя дополнительные функции и т. д. Например, Stylish и Tampermonkey.

  • Автоматизация задач. Расширения могут помочь пользователям автоматизировать повторяющиеся задачи, такие как автоматическое заполнение форм, пакетная загрузка файлов и т. д. Например, iMacros и DownThemAll.

  • Языковой перевод. Некоторые расширения могут переводить веб-контент в режиме реального времени, чтобы помочь пользователям понимать веб-страницы на разных языках, например Google Translate.

  • Помощь в криптовалюте: расширения могут помочь пользователям сделать транзакции с криптовалютой более удобными, например MetaMask и т. д.

Гибкость и разнообразие расширений Chrome позволяют применять их практически к любому сценарию просмотра, помогая пользователям более эффективно выполнять различные задачи.

3. Какие разрешения имеет расширение Chrome после установки?

После установки расширение Chrome может запрашивать ряд разрешений для выполнения определенных функций. Эти разрешения объявлены в файле манифеста расширения.json, и при установке пользователю будет предложено подтвердить его. Общие разрешения включают в себя:

  • : позволяет расширению получать доступ к содержимому всех веб-сайтов. Это широкое разрешение, которое позволяет расширению читать и изменять все данные веб-сайта.

  • вкладки: позволяет расширению получать доступ к информации о вкладках браузера, включая получение открытых в данный момент вкладок, создание и закрытие вкладок и т. д.

  • activeTab: позволяет расширению временно получать доступ к текущей активной вкладке, обычно используемой для выполнения определенных действий, когда пользователь нажимает кнопку расширения.

  • хранилище: позволяет расширениям использовать API хранилища Chrome для хранения и извлечения данных. Это можно использовать для сохранения настроек расширения, пользовательских данных и т. д.

  • Файлы cookie: позволяет расширению получать доступ к файлам cookie и изменять их в браузере.

  • webRequest и webRequestBlocking: позволяют расширениям перехватывать и изменять сетевые запросы. Эти разрешения обычно используются для расширений блокировки рекламы и защиты конфиденциальности.

  • закладки: позволяет расширению получать доступ к закладкам браузера и изменять их.

  • история: позволяет расширению получать доступ к истории браузера и изменять ее.

  • уведомления: позволяет расширению отображать уведомления на рабочем столе.

  • contextMenus: позволяет расширениям добавлять пользовательские пункты меню в контекстное меню браузера (меню, вызываемое правой кнопкой мыши).

  • геолокация: позволяет расширению получать доступ к информации о геолокации пользователя.

  • clipboardRead и clipboardWrite: разрешают расширениям читать и записывать содержимое буфера обмена.

  • загрузки: позволяет расширению управлять загрузками, включая запуск, приостановку и отмену загрузок.

  • управление: позволяет расширению управлять другими расширениями и приложениями браузера.

  • Фон: позволяет расширениям запускать длительные задачи в фоновом режиме.

  • уведомления: позволяет расширению отображать системные уведомления.

  • webNavigation: позволяет расширениям отслеживать и изменять поведение навигации браузера.

Эти разрешения позволяют расширениям Chrome выполнять множество мощных и разнообразных функций, но также означают, что они могут получить доступ к конфиденциальным данным пользователя, таким как файлы cookie, данные аутентификации и т. д.

4. Почему вредоносные расширения Chrome могут украсть разрешения пользователей?

Вредоносные расширения Chrome могут использовать запрошенные разрешения для кражи разрешений пользователя и информации аутентификации, поскольку эти расширения имеют прямой доступ к среде и данным браузера пользователя и манипулируют ими. Конкретные причины и методы заключаются в следующем:

  • Расширенный доступ к разрешениям: вредоносные расширения обычно запрашивают большое количество разрешений, таких как доступ ко всем веб-сайтам (), чтение и изменение вкладок (вкладок) браузера, доступ к хранилищу (хранилищу) браузера и т. д. Эти разрешения предоставляют вредоносному расширению широкий доступ к активности и данным пользователя.

  • Манипулирование сетевыми запросами. Вредоносное расширение может использовать разрешения webRequest и webRequestBlocking для перехвата и изменения сетевых запросов с целью кражи информации об аутентификации пользователя и конфиденциальных данных. Например, они могут перехватывать данные форм и получать имена пользователей и пароли, когда пользователи заходят на веб-сайт.

  • Чтение и запись содержимого страницы. С помощью сценариев содержимого вредоносные расширения могут встраивать код в веб-страницы для чтения и изменения содержимого страницы. Это означает, что они могут украсть любые данные, которые пользователь вводит на веб-странице, например информацию из форм, поисковые запросы и т. д.

  • Доступ к хранилищу браузера. Вредоносное расширение может использовать разрешения на хранение для доступа и хранения локальных данных пользователя, включая хранилище браузера (например, LocalStorage и IndexedDB), которое может содержать конфиденциальную информацию.

  • Манипулирование буфером обмена. Благодаря разрешениям clipboardRead и clipboardWrite вредоносное расширение может читать и записывать содержимое буфера обмена пользователя, тем самым похищая или подделывая скопированную и вставленную пользователем информацию.

  • Маскироваться под законный веб-сайт. Вредоносные расширения могут маскироваться под законные веб-сайты, изменяя содержимое браузера или перенаправляя веб-страницы, посещаемые пользователями, и побуждая пользователей вводить конфиденциальную информацию.

  • Длительная работа в фоновом режиме. Вредоносные расширения с разрешениями в фоновом режиме могут продолжать работать в фоновом режиме, даже если пользователь не использует их активно. Это позволяет им отслеживать действия пользователей в течение длительных периодов времени и собирать большие объемы данных.

  • Операционные загрузки. Используя разрешение на загрузку, вредоносное расширение может загружать и выполнять вредоносные файлы, что еще больше ставит под угрозу безопасность системы пользователя.

5. Почему у жертв этого вредоносного расширения были украдены разрешения и скомпрометированы их средства?

Поскольку на этот раз вредоносное расширение Aggr только что получило справочную информацию, о которой мы говорили выше, ниже приведен фрагмент содержимого разрешений файла Manifests.json вредоносного плагина:

  • печенье

  • вкладки

  • хранилище

6. Что может сделать вредоносное расширение Chrome после кражи файлов cookie пользователей?

  • Доступ к учетным записям: вредоносные расширения могут использовать украденные файлы cookie для имитации входа пользователей в учетные записи торговой платформы, тем самым получая доступ к информации об учетных записях пользователей, включая балансы, историю транзакций и т. д.

  • Совершение транзакций. Украденные файлы cookie могут позволить вредоносному расширению совершать транзакции, покупать или продавать криптовалюту или даже передавать активы на другие учетные записи без согласия пользователя.

  • Вывод средств. Если файлы cookie содержат информацию о сеансе и токены аутентификации, вредоносное расширение может обойти двухфакторную аутентификацию (2FA) и напрямую инициировать вывод средств, переведя криптовалюту пользователя в кошелек, контролируемый злоумышленником.

  • Доступ к конфиденциальной информации. Вредоносные расширения могут получать доступ и собирать конфиденциальную информацию в учетных записях пользователей торговой платформы, такую ​​как подтверждающие документы, адреса и т. д., которая может быть использована для дальнейшей кражи личных данных или мошенничества.

  • Изменение настроек учетной записи. Вредоносные расширения могут изменить настройки учетной записи пользователя, такие как привязанные адреса электронной почты, номера мобильных телефонов и т. д., для дальнейшего контроля над учетной записью и кражи дополнительной информации.

  • Выдача себя за пользователя для проведения атак социальной инженерии: использование учетных записей пользователей для проведения атак социальной инженерии, например отправка мошеннической информации контактам пользователя с целью побудить их выполнить небезопасные операции или предоставить более конфиденциальную информацию.

Ответы

Увидев это, большинство пользователей могут подумать, а что мне делать, просто отключиться от Интернета и перестать играть? Вы используете отдельный компьютер? Не нужна платформа веб-входа? В Интернете можно найти много поговорок об убийстве палкой, но на самом деле мы можем научиться разумно предотвращать подобные риски:

Меры противодействия для отдельных пользователей:

  • Повышение осведомленности о личной безопасности. Первое профилактическое предложение заключается в повышении осведомленности о личной безопасности и постоянном сохранении скептического отношения.

  • Устанавливайте расширения только из надежных источников. Устанавливайте расширения из Интернет-магазина Chrome или других надежных источников, а также читайте отзывы пользователей и запросы разрешений, чтобы не предоставлять расширениям ненужный доступ.

  • Используйте безопасную среду браузера: избегайте установки расширений из неизвестных источников, регулярно просматривайте и удаляйте ненужные расширения, устанавливайте разные браузеры, изолируйте плагины браузеров и браузеры средств транзакций.

  • Регулярно проверяйте действия учетной записи. Регулярно проверяйте действия по входу в учетную запись и записи транзакций и принимайте немедленные меры в случае обнаружения подозрительного поведения.

  • Не забудьте выйти из системы. Не забудьте выйти из системы после использования веб-платформы. Для удобства многие люди не нажимают кнопку выхода из системы после завершения операции на платформе. Эта привычка несет в себе угрозу безопасности.

  • Используйте аппаратный кошелек. Для хранения больших объемов активов используйте аппаратный кошелек для повышения безопасности.

  • Настройки браузера и инструменты безопасности: используйте безопасные настройки браузера и расширения (например, блокировщики рекламы, инструменты конфиденциальности), чтобы снизить риск появления вредоносных расширений.

  • Используйте программное обеспечение безопасности. Установите и используйте программное обеспечение безопасности для обнаружения и предотвращения вредоносных расширений и других вредоносных программ.

Наконец, есть предложения по контролю рисков для платформы. С помощью этих мер торговая платформа может снизить риски безопасности, создаваемые вредоносными расширениями Chrome:

  • Чтобы принудительно использовать двухфакторную аутентификацию (2FA):

- Включить 2FA глобально: потребовать от всех пользователей включить двухфакторную аутентификацию (2FA) при входе в систему и выполнении важных операций (таких как торговля, размещение заказов, вывод средств), чтобы гарантировать, что даже в случае кражи файлов cookie пользователя злоумышленники не смогут легко получить доступ. счет.

- Несколько методов проверки: поддержка нескольких вторичных методов проверки, таких как SMS, электронная почта, Google Authenticator и аппаратные токены.

  • Управление сеансами и безопасность:

- Управление устройствами: предоставляет пользователям возможность просматривать и управлять устройствами, на которых выполнен вход, позволяя пользователям в любое время выходить из сеансов с неизвестными устройствами.

- Тайм-аут сеанса: внедрите политику тайм-аута сеанса для автоматического выхода из сеансов, которые были неактивны в течение длительного времени, чтобы снизить риск кражи сеанса.

- Мониторинг IP-адреса и геолокации: обнаруживайте и предупреждайте пользователей о попытках входа с необычных IP-адресов или геолокаций и при необходимости блокируйте эти входы.

  • Усильте настройки безопасности аккаунта:

- Уведомления о безопасности: мгновенно отправляйте пользователям уведомления о важных операциях, таких как вход в учетную запись, изменение пароля, снятие средств и т. д. Пользователям можно напоминать о ненормальных действиях по электронной почте или SMS.

- Функция заморозки учетных записей: предоставляет пользователям возможность быстро заморозить учетные записи в чрезвычайных ситуациях, чтобы контролировать масштаб ущерба.

  • Укрепить системы мониторинга и контроля рисков:

- Обнаружение аномального поведения: используйте машинное обучение и анализ больших данных для мониторинга поведения пользователей, выявления аномальных моделей транзакций и действий на счетах, а также своевременного вмешательства по контролю рисков.

- Предупреждение о контроле рисков: обеспечить раннее предупреждение и ограничения на подозрительное поведение, такое как частые изменения информации об учетной записи, частые неудачные попытки входа в систему и т. д.

  • Предоставьте пользователям обучение и инструменты в области безопасности:

- Обучение безопасности: популяризируйте знания о безопасности среди пользователей через официальные учетные записи в социальных сетях, электронную почту, уведомления на платформе и по другим каналам, а также напоминайте пользователям, что им следует обращать внимание на риски, связанные с расширениями браузера, и на то, как защитить свои учетные записи.

- Инструменты безопасности: предоставляйте официальные плагины или расширения для браузера, которые помогут пользователям повысить безопасность учетной записи, обнаруживать и предупреждать пользователей о возможных угрозах безопасности.

Заключение

Честно говоря, с технической точки зрения зачастую принятие всех упомянутых выше мер по контролю рисков может быть не лучшим способом. Безопасность и бизнес должны быть сбалансированы. Если безопасность слишком важна, пользовательский опыт будет плохим. Например, при размещении заказов требуется вторичная аутентификация, чтобы быстро размещать заказы. В результате это удобно как для вас, так и для хакеров, поскольку, если файлы cookie украдены и монеты невозможно вывести, хакеры могут играть друг против друга и нанести ущерб активам пользователей. Поэтому методы контроля рисков различны для разных платформ и пользователей. Что касается баланса между безопасностью и бизнесом, разные платформы учитывают разные соображения. Мы надеемся, что платформа сможет защитить безопасность учетных записей и активов пользователей, учитывая при этом удобство работы пользователей.