Under 2019 avslöjades ett nätverk av webbläsartillägg, främst för Chrome, för att ha skrapat känslig data från så många som fyra miljoner användare. De skrapade uppgifterna inkluderade PII, webbhistorik, medicinsk information och mer. Uppgifterna finansierades sedan genom ett kommersialiseringssystem. Detta brott blev känt som DataSpii incident, och det belyser i vilken utsträckning skadliga webbläsartillägg kan äventyra användarnas integritet och företagsdatasäkerhet.

Under de senaste åren har risken för skadliga webbläsartillägg ökat avsevärt. Skadliga webbläsartillägg kan samla in känslig data, övervaka onlineaktiviteter, injicera oönskade annonser, avleda trafik till skadliga webbplatser och till och med ta kontroll över en användares webbläsare. Detta äventyrar användares och organisationers integritet, säkerhet och övergripande onlineupplevelse. 

Men den traditionella slutpunkts- och nätverkssäkerhetsstacken saknas för närvarande när det gäller att upptäcka och förhindra skadliga aktiviteter som utförs genom webbläsartillägg. I det här blogginlägget kommer vi att avslöja hur skadliga tillägg infiltrerar enheter och vad företag kan göra för att stärka sina nätverk.

Det här blogginlägget är baserat på rapporten "Unveiling the Threat of Malicious Browser Extensions", som du kan läsa i sin helhet här..

Typer av skadliga tillägg

Skadliga tillägg utgör antingen en aktiv eller potentiell risk när de installeras i en webbläsare. Det finns tre typer av skadliga tillägg:

  • Ursprungligen skadlig förlängning – Ett tillägg som skapades av en motståndare från grunden i ett skadligt syfte.
  • Äventyrad förlängning – Ett ursprungligen legitimt tillägg som blev ägt av en motståndare efter att ha köpt tillägget direkt eller äventyrat tilläggets utvecklarkonto .
  • Riskfylld förlängning – En legitim förlängning som har överdrivna behörigheter.

Hur webbläsartillägg installeras

Det finns fem metoder där ett skadligt tillägg får plats i offrets webbläsare:

  1. Administration – Tillägg som distribueras centralt av nätverksadministratörer inom företaget. Dessa är tillägg med uttryckligt organisatoriskt godkännande.
  2. Vanligt – Tillägg som laddas ner från officiella webbläsarbutiker. Användare installerar tillägg genom att besöka ett tilläggs lista i webbläsarens Web Store. 
  3. Utveckling – Tillägg som laddas från anställdas lokala datorer.
  4. sideload – Tillägg som installeras av tredjepartsprogram, som Adobe eller andra programvaruleverantörer. 
  5. Programuppdatering – Uppdatering av ett tillägg som kompromettats av en motståndare efter att det installerades första gången och användes för legitima ändamål.

Omfattande behörigheter för webbläsartillägg

Webbläsartilläggsbehörigheter är uppsättningen regler som dikterar vilka åtgärder ett tillägg får utföra i din webbläsare. Behörigheter begärs och beviljas när användare installerar ett tillägg, och de kan variera kraftigt beroende på tilläggets avsedda funktionalitet.

Behörigheter är vanligtvis hörnstenen i extensionsbaserade cyberattacker. När tillägget är installerat kan behörigheterna användas för att utföra skadliga åtgärder.

Riskfyllda behörigheter inkluderar:

  • Cookies
  • Debugger
  • webRequest
  • Urklipp
  • innehållsinställningar
  • desktopCapture-\pageCapture
  • historik
  • Integritetspolicy
  • Proxy
  • tabCapture
  • https://*/*

För mer information om hur dessa behörigheter gör det möjligt för motståndare att infiltrera enheter och komma åt känslig data, läs hela rapporten.

Hur skadliga webbläsartillägg attackerar

När de har installerats och beviljats ​​behörigheter kan tilläggen fortsätta att infiltrera organisationens system. Den fullständiga attacken inkluderar följande steg:

  1. Motståndaren skapar tillägget eller köper ett befintligt och lägger till skadlig kod till det.
  2. Tillägget laddas upp till en webbbutik eller till motståndarens server.
  3. Användare lockas att installera tillägget genom social ingenjörskonst eller genom att sidladda tillägget i bakgrunden.
  4. När det har installerats begär tillägget en rad behörigheter , såsom åtkomst till webbhistoriken, personliga data och mer.
  5. Med tillstånd beviljade kan motståndaren börja utföra sina skadliga aktiviteter genom tillägget. Till exempel att ta lösenord, cookies och certifikat som lagras i webbläsaren.
  6. Motståndare kan smälta in i befintlig trafik genom att kommunicera med OSI-applikationslagerprotokollen.
  7. Motståndare kan exfiltrera data som fångas eller extraheras av tillägget via olika kanaler. De föredrar ofta att använda standardwebbprotokoll på grund av den vanliga bristen på utgående trafikinspektion av brandväggar/proxyer.
  8. Det finns många sätt som en skadlig tilläggsbaserad attack kan orsaka skada, beroende på avsikterna hos den initierande hotaktören. Dessa inkluderar:
  • Skadlig åtkomst till organisationsresurser med hjälp av de inhämtade referenserna. 
  • Öka organisationers exponering för attacker genom att sälja komprometterad data på den mörka webben.
  • Riktade nätfiskeattacker baserat på användarnas insamlade data. 
  • Förbrukar datorkraft för kryptobrytning.
  • Injicera adware och malvertising för att omdirigera användare till skadliga webbplatser.

Begränsning: Vad kan du göra?

Chrome avinstallerar inte automatiskt tillägg som har avpublicerats av deras utvecklare eller som tagits bort från butiken, även om de är markerade som skadlig programvara. Istället är det användarnas ansvar att ta bort tillägget. Detta gör det desto viktigare att implementera avancerade säkerhetskontroller och metoder för att skydda webbläsaren från skadliga tillägg i första hand.

Bästa metoder inkluderar:

    1. Ladda ner från betrodda källor: Installera endast tillägg från officiella webbläsartilläggsbutiker, som Chrome Web Store för Google Chrome eller Firefox-tilläggswebbplatsen för Mozilla Firefox.
    2. Se när tillägget senast uppdaterades: Regelbundna uppdateringar är ofta en indikator på en ansvarig utvecklare som åtgärdar sårbarheter och säkerställer kompatibilitet med de senaste webbläsarversionerna. Föråldrade tillägg kan sakna kritiska säkerhetskorrigeringar och kan utgöra en större risk för utnyttjande.
    3. Granska avsnittet Sekretesspraxis och tilläggets webbplats: Legitima tillägg ger vanligtvis tydliga och koncisa sekretesspolicyer som beskriver hur användardata samlas in, används och skyddas. All brist på sådan information eller vaga policyer kan vara röda flaggor, vilket tyder på potentiellt missbruk av användardata.
    4. Undersök tillägget: Tillägg med ett stort antal nedladdningar, positiva recensioner och höga betyg är mer sannolikt att vara legitima och säkra att använda. Var försiktig med tillägg med minimalt användarengagemang, få recensioner eller låga betyg, eftersom deras tillförlitlighet kan vara tveksam.
    5. Kontrollera behörigheter: Var försiktig om ett tillägg begär onödiga eller överdrivna behörigheter som inte verkar relaterade till dess funktionalitet.
    6. Använd säkerhetsprogramvara: Installera välrenommerade antivirus- och anti-malware-program som kan hjälpa till att upptäcka och förhindra skadliga tillägg.
    7. Var skeptisk: Om ett tilläggs erbjudande verkar för bra för att vara sant eller påstår sig erbjuda olagligt innehåll gratis, är det troligtvis skadligt.
    8. Granska tillägg regelbundet: Granska tilläggen du har installerat och ta bort alla som du inte längre använder eller som du misstänker kan vara skadliga.
    9. Använd en webbläsarsäkerhetsplattform: En webbläsarsäkerhetsplattform som LayerX kommer att skanna din arbetsstyrkas webbläsare för att upptäcka installerade skadliga tillägg som bör tas bort. Dessutom kommer den att analysera beteendet hos befintliga webbläsartillägg för att förhindra dem från att komma åt känslig webbläsardata. Slutligen kommer plattformen att blockera motståndare från att få tillgång till det breda utbudet av autentiseringsuppgifter som lagras i din webbläsare, för att förhindra MFA-bypass och potentiellt kontoövertagande

För mer information om varje begränsningsstrategi, läs hela rapporten.

Dina nästa steg

Skadliga tillägg är ett växande problem för organisationer, på grund av deras utbredda användning om än begränsade övervakningsmöjligheter. Skadliga webbläsartillägg kan samla in känslig data och göra det möjligt för motståndare att infiltrera organisationer, vilket utsätter hela organisationen för risker.

Genom att utöva flit och använda avancerade säkerhetsrutiner kan organisationen skydda sig från denna populära attackvektor. Att prova LayerX, webbläsarens säkerhetsplattform som går utöver den befintliga stacken och kan identifiera och blockera skadliga tilläggsaktivitet, Klicka här.