I 2019 ble et nettverk av nettleserutvidelser, først og fremst for Chrome, avslørt for å ha skrapet sensitive data fra så mange som fire millioner brukere. De skrapte dataene inkluderte PII, nettleserhistorikk, medisinsk informasjon og mer. Dataene ble deretter tjent med penger gjennom en kommersialiseringsordning. Dette bruddet ble kjent som DataSpii-hendelse, og det kastet lys over i hvilken grad ondsinnede nettleserutvidelser kan kompromittere brukernes personvern og bedriftens datasikkerhet.

De siste årene har risikoen for ondsinnede nettleserutvidelser økt betydelig. Ondsinnede nettleserutvidelser kan samle sensitive data, overvåke nettaktiviteter, injisere uønskede annonser, avlede trafikk til ondsinnede nettsteder og til og med ta kontroll over en brukers nettleser. Dette setter brukernes og organisasjoners personvern, sikkerhet og generelle nettopplevelse i fare. 

Imidlertid mangler den tradisjonelle endepunkt- og nettverkssikkerhetsstakken for øyeblikket når det gjelder å oppdage og forhindre ondsinnede aktiviteter utført gjennom nettleserutvidelser. I dette blogginnlegget vil vi avsløre hvordan ondsinnede utvidelser infiltrerer enheter og hva selskaper kan gjøre for å styrke nettverkene deres.

Dette blogginnlegget er basert på rapporten «Unveiling the Threat of Malicious Browser Extensions», som du kan lese i sin helhet her..

Typer skadelige utvidelser

Ondsinnede utvidelser utgjør enten en aktiv eller potensiell risiko når de installeres i en nettleser. Det finnes tre typer ondsinnede utvidelser:

  • Opprinnelig ondsinnet utvidelse – En utvidelse som ble opprettet av en motstander fra bunnen av for et ondsinnet formål.
  • Kompromittert utvidelse – En opprinnelig legitim utvidelse som ble eid av en motstander etter å ha kjøpt utvidelsen direkte eller kompromittert utvidelsens utviklerkonto .
  • Risikofylt utvidelse – En legitim utvidelse som har overdrevne tillatelser.

Hvordan nettleserutvidelser blir installert

Det er fem metoder der en ondsinnet utvidelse får plass i et offers nettleser:

  1. admin – Utvidelser distribuert sentralt av nettverksadministratorer i selskapet. Dette er utvidelser med eksplisitt organisasjonsgodkjenning.
  2. Normal – Utvidelser lastet ned fra offisielle nettleserbutikker. Brukere installerer utvidelser ved å besøke en utvidelses oppføring i nettleserens nettmarked. 
  3. Utvikling – Utvidelser lastet fra ansattes lokale datamaskiner.
  4. lasting – Utvidelser installert av tredjepartsapplikasjoner, for eksempel Adobe eller andre programvareleverandører. 
  5. programvare~~POS=TRUNC – Oppdatere en utvidelse som ble kompromittert av en motstander etter at den ble installert første gang og brukt til legitime formål.

Omfattende nettleserutvidelsestillatelser

Nettleserutvidelsestillatelser er settet med regler som dikterer hvilke handlinger en utvidelse har lov til å utføre i nettleseren din. Tillatelser blir bedt om og gitt når brukere installerer en utvidelse, og de kan variere mye avhengig av utvidelsens tiltenkte funksjonalitet.

Tillatelser er vanligvis hjørnesteinen i utvidelsesbaserte nettangrep. Når utvidelsen er installert, kan tillatelsene brukes til å utføre ondsinnede operasjoner.

Risikofulle tillatelser inkluderer:

  • Cookies
  • Debugger
  • webRequest
  • utklippstavlen
  • Innholdsinnstillinger
  • desktopCapture-\pageCapture
  • Historie
  • Privatliv
  • Proxy
  • tabCapture
  • https://*/*

For mer informasjon om hvordan disse tillatelsene gjør det mulig for motstandere å infiltrere enheter og få tilgang til sensitive data, les hele rapporten.

Hvordan ondsinnede nettleserutvidelser angriper

Når de er installert og gitt tillatelser, kan utvidelsene fortsette å infiltrere organisasjonens systemer. Det komplette angrepet inkluderer følgende trinn:

  1. Motstanderen oppretter utvidelsen eller kjøper en eksisterende og legger til skadelig kode til den.
  2. Utvidelsen lastes opp til en nettbutikk eller til motstanderens server.
  3. Brukere lokkes til å installere utvidelsen gjennom social engineering eller ved å sidelaste utvidelsen i bakgrunnen.
  4. Når utvidelsen er installert, ber den om en rekke tillatelser, for eksempel tilgang til nettleserloggen, personlige data og mer.
  5. Med tillatelser gitt, kan motstanderen begynne å utføre sine ondsinnede aktiviteter gjennom utvidelsen. For eksempel å ta passord, informasjonskapsler og sertifikater som er lagret i nettleseren.
  6. Motstandere kan blande seg med eksisterende trafikk ved å kommunisere ved hjelp av OSI-applikasjonslagsprotokollene.
  7. Motstandere kan eksfiltrere dataene som fanges opp eller trekkes ut av utvidelsen via ulike kanaler. De foretrekker ofte å bruke standard nettprotokoller på grunn av den vanlige mangelen på utgående trafikkinspeksjon av brannmurer/proxyer.
  8. Det er mange måter et ondsinnet utvidelsesbasert angrep kan forårsake skade, avhengig av intensjonene til den initierende trusselaktøren. Disse inkluderer:
  • Skadelig tilgang til organisasjonsressurser ved å bruke den innhentede legitimasjonen. 
  • Øke organisasjoners eksponering for angrep ved å selge kompromitterte data på det mørke nettet.
  • Målrettede phishing-angrep basert på brukernes innhentede data. 
  • Bruker datamaskinkraft for kryptogruvedrift.
  • Injiserer adware og skadelig reklame for å omdirigere brukere til ondsinnede nettsteder.

Redusering: Hva kan du gjøre?

Chrome avinstallerer ikke automatisk utvidelser som ble avpublisert av utviklerne eller som ble fjernet fra butikken, selv om de er merket som skadelig programvare. I stedet er det brukernes ansvar å fjerne utvidelsen. Dette gjør det desto viktigere å implementere avanserte sikkerhetskontroller og -praksis for å beskytte nettleseren mot ondsinnede utvidelser i utgangspunktet.

Beste fremgangsmåter inkluderer:

    1. Last ned fra pålitelige kilder: Installer bare utvidelser fra offisielle nettleserutvidelsesbutikker, for eksempel Chrome Nettmarked for Google Chrome eller Firefox-tilleggssiden for Mozilla Firefox.
    2. Se når utvidelsen sist ble oppdatert: Regelmessige oppdateringer er ofte en indikator på en ansvarlig utvikler som adresserer sårbarheter og sikrer kompatibilitet med de nyeste nettleserversjonene. Utdaterte utvidelser kan mangle kritiske sikkerhetsoppdateringer og kan utgjøre en større risiko for utnyttelse.
    3. Se avsnittet om personvernpraksis og utvidelsens nettsted: Legitime utvidelser gir vanligvis klare og konsise personvernregler som beskriver hvordan brukerdata samles inn, brukes og beskyttes. Enhver mangel på slik informasjon eller vage retningslinjer kan være røde flagg, noe som tyder på potensiell misbruk av brukerdata.
    4. Undersøk utvidelsen: Utvidelser med et høyt antall totale nedlastinger, positive anmeldelser og høye vurderinger er mer sannsynlig å være legitime og trygge å bruke. Vær forsiktig med utvidelser med minimalt brukerengasjement, få anmeldelser eller lave rangeringer, siden deres pålitelighet kan være tvilsom.
    5. Sjekk tillatelser: Vær på vakt hvis en utvidelse ber om unødvendige eller overdrevne tillatelser som ikke virker relatert til funksjonaliteten.
    6. Bruk sikkerhetsprogramvare: Installer anerkjente antivirus- og anti-malware-programvare som kan bidra til å oppdage og forhindre skadelige utvidelser.
    7. Vær skeptisk: Hvis tilbudet til en utvidelse virker for godt til å være sant eller hevder å tilby ulovlig innhold gratis, er det sannsynligvis skadelig.
    8. Gjennomgå utvidelser regelmessig: Se gjennom utvidelsene du har installert og fjern eventuelle du ikke lenger bruker eller som du mistenker kan være skadelig.
    9. Bruk en nettlesersikkerhetsplattform: En nettlesersikkerhetsplattform som LayerX vil skanne arbeidsstyrkens nettlesere for å oppdage installerte ondsinnede utvidelser som bør fjernes. I tillegg vil den analysere oppførselen til eksisterende nettleserutvidelser for å hindre dem i å få tilgang til sensitive nettleserdata. Til slutt vil plattformen blokkere motstandere fra å få tilgang til det store utvalget av legitimasjonsdata som er lagret i nettleseren din, for å forhindre MFA-omgåelse og potensiell kontoovertakelse

For mer informasjon om hver avbøtingsstrategi, les hele rapporten.

Dine neste trinn

Ondsinnede utvidelser er en økende bekymring for organisasjoner, på grunn av deres utbredte bruk, om enn begrensede overvåkingsmuligheter. Ondsinnede nettleserutvidelser kan samle inn sensitive data og gjøre det mulig for motstandere å infiltrere organisasjoner, og sette hele organisasjonen i fare.

Ved å praktisere flid og bruke avansert sikkerhetspraksis, kan organisasjonen beskytte seg mot denne populære angrepsvektoren. Å prøve ut LayerX, nettleserens sikkerhetsplattform som går utover den eksisterende stabelen og kan identifisere og blokkere aktiviteten til skadelige utvidelser, Klikk her.