Фишинг-атака по захвату браузерных дополнений для встраивания в них вредоносного кода
Разработчики дополнения Copyfish предупредили о потере контроля за учетной записью, используемой для распространения дополнения в каталоге Chrome Web Store. Неизвестные злоумышленники захватили контроль за дополнением и выпустили новую версию, в которое встроили вредоносный код, осуществляющий подстановку чужих рекламных блоков на сайты. Copyfish насчитывает около 40 тысяч установок и представляет собой реализацию интегрированной в браузер системы распознавания текста (OCR), использующую облачный сервис ocr.space на базе OCR-библиотек Microsoft.
Ранее поставщики Adware практиковали покупку дополнений у авторов, которым надоело заниматься своим продуктом. Но на примере Copyfish видно, что теперь они перешли к захвату дополнений через проведение фишинг-атак. В частности, разработчики Copyfish получили поддельное письмо от службы поддержки Chrome Web Store с предупреждением о необходимости устранения выявленных в коде дополнения проблем, в случае не исправления которых дополнение будет удалено из каталога.
В тексте была ссылка на тикет, которая указывала через систему коротких ссылок (bit.ly/2uFiL2o) на форму подставную форму аутентификации, после которой осуществлялся проброс на форму обсуждения проблемы на сайте chromedev.freshdesk.com. Ссылка явно не бросалась в глаза, так как письмо было оформлено в HTML. Один из команды разработчиков не заметил подвоха и ввел свои учетные данные в подставной форме аутентификации Google (форма открывалась со страницы "https://login.chrome-extensions.top/ServiceLogin/?https://chrome.google.com/webstore/developer/dashboard").
На следующий день разработчики обнаружили, что без их ведома была выпущена новая версия 2.8.5, содержащая блоки для подстановки рекламы, а управление дополнением привязано к другому аккаунту. Разработчики обратили внимание на проблему после того как на своих системах заметили появление несвойственного просматриваемым сайтам всплывающего спама. Попытки связаться с Google для решения проблемы или блокировки дополнения пока не принесли успеха. Всем пользователям Copyfish для Chrome рекомендуется срочно отключить дополнение. Версия для Firefox не пострадала.
