В 2019 году выяснилось, что сеть расширений браузера, в первую очередь для Chrome, собирала конфиденциальные данные от четырех миллионов пользователей. Собранные данные включали личные данные, историю просмотров, медицинскую информацию и многое другое. Затем данные монетизировались посредством схемы коммерциализации. Это нарушение стало известно как Инцидент с DataSpiiи это пролило свет на то, в какой степени вредоносные расширения браузера могут поставить под угрозу конфиденциальность пользователей и безопасность корпоративных данных.

За последние годы риск вредоносных расширений браузера значительно вырос. Вредоносные расширения браузера могут собирать конфиденциальные данные, отслеживать действия в Интернете, внедрять нежелательную рекламу, перенаправлять трафик на вредоносные сайты и даже брать под контроль браузер пользователя. Это ставит под угрозу конфиденциальность, безопасность и общий опыт работы в Интернете пользователей и организаций. 

Однако традиционный стек конечной и сетевой безопасности в настоящее время отсутствует, когда дело доходит до обнаружения и предотвращения вредоносных действий, осуществляемых через расширения браузера. В этом сообщении блога мы расскажем, как вредоносные расширения проникают в устройства и что компании могут сделать, чтобы укрепить свои сети.

Эта запись в блоге основана на отчете «Раскрытие угрозы вредоносных расширений браузера», который вы можете прочитать полностью. здесь.

Типы вредоносных расширений

Вредоносные расширения представляют либо активный, либо потенциальный риск при установке в браузере. Существует три типа вредоносных расширений:

  • Изначально вредоносное расширение – Расширение, созданное злоумышленником с нуля для злонамеренных целей.
  • Скомпрометированное расширение – Изначально законное расширение, которое стало принадлежать злоумышленнику после непосредственной покупки расширения или компрометации учетной записи разработчика расширения.
  • Рискованное расширение – Законное расширение с чрезмерными разрешениями.

Как устанавливаются расширения браузера

Существует пять способов проникновения вредоносного расширения в браузер жертвы:

  1. Админ – Расширения распространяются централизованно сетевыми администраторами внутри компании. Это расширения с явным одобрением организации.
  2. нормальная – Расширения, скачанные из официальных магазинов браузеров. Пользователи устанавливают расширения, посещая список расширений в Интернет-магазине браузера. 
  3. Разработка – Расширения, загружаемые с локальных компьютеров сотрудников.
  4. Sideload – Расширения, установленные сторонними приложениями, такими как Adobe или другими поставщиками программного обеспечения. 
  5. Обновление ПО – Обновление расширения, которое было скомпрометировано злоумышленником после его первой установки и использования в законных целях.

Расширенные разрешения расширений браузера

Разрешения расширения браузера — это набор правил, определяющих, какие действия разрешено выполнять расширению в вашем браузере. Разрешения запрашиваются и предоставляются, когда пользователи устанавливают расширение, и они могут сильно различаться в зависимости от предполагаемой функциональности расширения.

Разрешения обычно являются краеугольным камнем кибератак с использованием расширений. После установки расширения разрешения можно использовать для выполнения вредоносных операций.

Рискованные разрешения включают в себя:

  • Файлы
  • Отладчик
  • веб-запрос
  • буфер обмена
  • настройки контента
  • DesktopCaptureֿ\pageCapture
  • История
  • конфиденциальность
  • доверенное лицо
  • вкладкаЗахват
  • https://*/*

Для получения более подробной информации о том, как эти разрешения позволяют злоумышленникам проникать на устройства и получать доступ к конфиденциальным данным, см. прочитать весь отчет.

Как атакуют вредоносные расширения браузера

После установки и получения разрешений расширения могут продолжать проникать в системы организации. Полная атака включает в себя следующие шаги:

  1. Злоумышленник создает расширение или покупает существующее и добавляет в него вредоносный код.
  2. Расширение загружается в интернет-магазин или на сервер злоумышленника.
  3. Пользователей соблазняют установить расширение с помощью социальной инженерии или путем загрузки расширения в фоновом режиме.
  4. После установки расширение запрашивает ряд разрешений, таких как доступ к истории просмотров, личным данным и т. д.
  5. Получив разрешения, злоумышленник может начать выполнять свои вредоносные действия через расширение. Например, взяв пароли, файлы cookie и сертификаты, хранящиеся в браузере.
  6. Злоумышленники могут смешиваться с существующим трафиком, взаимодействуя с использованием протоколов прикладного уровня OSI.
  7. Злоумышленники могут получить доступ к данным, захваченным или извлеченным расширением, по различным каналам. Они часто предпочитают использовать стандартные веб-протоколы из-за отсутствия проверки исходящего трафика брандмауэрами/прокси-серверами.
  8. Существует множество способов, которыми злонамеренная атака на основе расширений может причинить вред, в зависимости от намерений инициатора угрозы. К ним относятся:
  • Злонамеренный доступ к ресурсам организации с использованием собранных учетных данных. 
  • Повышение уязвимости организаций к атакам за счет продажи скомпрометированных данных в даркнете.
  • Целевые фишинговые атаки, основанные на собранных данных пользователей. 
  • Потребление мощности компьютера для майнинга криптовалют.
  • Внедрение рекламного ПО и вредоносной рекламы для перенаправления пользователей на вредоносные веб-сайты.

Смягчение: что вы можете сделать?

Chrome не удаляет автоматически расширения, которые были неопубликованы разработчиками или удалены из магазина, даже если они помечены как вредоносные. Вместо этого пользователи обязаны удалить расширение. Это делает еще более важным внедрение расширенных мер безопасности и методов защиты браузера, в первую очередь, от вредоносных расширений.

Лучшие практики включают:

    1. Скачать из надежных источников: Устанавливайте расширения только из официальных магазинов расширений браузера, таких как Интернет-магазин Chrome для Google Chrome или сайт дополнений Firefox для Mozilla Firefox.
    2. Узнайте, когда расширение было обновлено в последний раз: Регулярные обновления часто являются показателем ответственного разработчика, который устраняет уязвимости и обеспечивает совместимость с последними версиями браузеров. Устаревшие расширения могут не иметь критических обновлений безопасности и могут представлять больший риск использования.
    3. Просмотрите раздел «Правила конфиденциальности» и веб-сайт расширения: Законные расширения обычно предоставляют четкую и краткую политику конфиденциальности, подробно описывающую, как собираются, используются и защищаются пользовательские данные. Любое отсутствие такой информации или расплывчатые политики могут быть тревожными сигналами, предполагающими потенциальное неправомерное использование пользовательских данных.
    4. Изучите расширение: Расширения с большим количеством загрузок, положительными отзывами и высокими рейтингами с большей вероятностью будут легитимными и безопасными в использовании. Будьте осторожны с расширениями с минимальным участием пользователей, небольшим количеством отзывов или низкими рейтингами, поскольку их надежность может быть сомнительной.
    5. Проверьте разрешения: будьте осторожны, если расширение запрашивает ненужные или чрезмерные разрешения, которые кажутся не связанными с его функциональностью.
    6. Используйте программное обеспечение безопасности: Установите надежное антивирусное и антивирусное программное обеспечение, которое поможет обнаружить и предотвратить вредоносные расширения.
    7. Будьте скептичны: Если предложение расширения кажется слишком хорошим, чтобы быть правдой, или утверждает, что предлагает бесплатный незаконный контент, скорее всего, оно вредоносное.
    8. Регулярно проверяйте расширения: просмотрите установленные вами расширения и удалите те, которые вы больше не используете или которые, по вашему мнению, могут быть вредоносными.
    9. Используйте платформу безопасности браузера: Платформа безопасности браузера, такая как Layerx просканирует браузеры ваших сотрудников, чтобы обнаружить установленные вредоносные расширения, которые следует удалить. Кроме того, он будет анализировать поведение существующих расширений браузера, чтобы предотвратить доступ к конфиденциальным данным браузера. Наконец, платформа заблокирует злоумышленникам доступ к широкому спектру учетных данных, хранящихся в вашем браузере, чтобы предотвратить обход MFA и потенциальный захват учетной записи.

Более подробную информацию о каждой стратегии смягчения последствий см. прочитать весь отчет.

Ваши следующие шаги

Вредоносные расширения вызывают растущую озабоченность организаций из-за их широкого использования, хотя и ограниченных возможностей мониторинга. Вредоносные расширения браузера могут собирать конфиденциальные данные и позволять злоумышленникам проникать в организации, подвергая риску всю организацию.

Проявляя осмотрительность и применяя передовые методы обеспечения безопасности, организация может защитить себя от этого популярного вектора атак. Попробовать Layerx, платформа безопасности браузера, которая выходит за рамки существующего стека и может выявлять и блокировать активность вредоносных расширений, нажмите здесь..