Вредоносная активность была обнаружена в исходном коде расширения MEGA для Chrome с номером версии 3.39.4, которое было опубликовано на площадке 4 сентября. Инженеры Google оперативно вмешались и удалили опасный плагин из Интернет-магазина Chrome, а также отключили расширение для существующих пользователей. Всего четыре часа спустя, Mega Limited (MEGA.NZ) выпустила новое чистое расширение с номером версии 3.39.5.
Согласно анализу исходного кода взломанного расширения, вредоносный модуль срабатывал на сайтах Amazon, Google, Microsoft, GitHub, MyEtherWallet, MyMonero, а также на бирже криптовалют IDEX. Вредоносный код перехватывал учетную информацию, пароли и данные сеанса, которые позволяли злоумышленника выдавать себя за пользователей. В случае успешного перехвата закрытого ключа, киберпреступник получал доступ к криптовалютным средствам жертвы. Все собранные данные отправлялись на сервер, размещенный в Украине.
Представитель Mega Limited заявил:
Мы хотели бы принести извинения за данный инцидент. Мы проводим собственное расследование, чтобы выявить схему взлома нашего аккаунта в магазине Chrome.
Чуть позже в блоге компании появилось сообщение, в котором четко прослеживается недовольство мерами безопасности Интернет-магазина Chrome:
К сожалению, Google отказалась от подписей издателей и использует систему автоматической подписи расширений после публикации в магазине Chrome, а данная схема убирает серьезный барьер для внешней компрометации. Наше расширение для Firefox подписано и размещено нами, и поэтому подобный вектор атаки здесь не пройдет. То же самое касается и мобильных приложений, размещенных на площадках Apple/Google/Microsoft - они обладают иммунитетом от таких атак благодаря подписи издателя.
Пользователям расширения MEGA для Chrome рекомендуется убедиться, что вредоносный плагин действительно отключен. Также среди профилактических мер, следует поменять пароли на затронутых сервисах и перенести криптовалюту в другие аккаунты с новыми закрытыми ключами.
В последнее время участились случаи взлома расширений для браузеров. Злоумышленники, как правило используют фишинг-схему для получения доступа к аккаунту разработчика, после чего подменяют легитимное расширение на модифицированную вредоносную копию.
Угрозы безопасности
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?
• Keenetic подтвердила взлом приложения для управления роутерами: Утекли данные более миллиона пользователей, большинство – из России