Эксперты по безопасности в Proofpoint опубликовали информацию о недавнем взломе, который затронул две виртуальные частные сети (VPN) и восемь приложений Chrome. Вовлеченные VPN были Betternet и TouchVPN. Возможно, что их подписчики подвергались злонамеренным всплывающим окнам и краже данных во время предполагаемой атаки в июне.


Открытие было сделано Kafeine, группой исследователей из кибербезопасности Proofpoint в Калифорнии. Эти эксперты обнаружили, что относительно простая эксплойт с использованием схемы фишинга дал хакерам контроль над учетными записями ряда разработчиков Chrome. Вот полный список всех приложений, которые были затронуты:

  • Copyfish
  • Веб-разработчик
  • Chrometana 1.1.3 [источник]
  • Бесконечность Новая вкладка 3.12.3
  • Web Paint 1.2.1 [источник]
  • Social Fixer 20.1.1 [источник]
  • TouchVPN
  • Betternet VPN

Простой вектор атаки

По словам исследователей, хакеры использовали простую технику фишинга, которая перенаправляла разработчиков приложений на фальшивую копию страницы входа в аккаунт Google. На этой фальшивой странице входа в систему они не указывали свои данные для входа, тем самым предоставляя киберпреступникам доступ к внутренней работе приложений. Из блога Kafeine:

«В конце июля и начале августа несколько расширений Chrome были скомпрометированы после кражи учетных данных их автора в Google с помощью фишинг-схемы. Это привело к перехвату трафика и подверганию пользователей потенциально вредоносным всплывающим окнам и краже учетных данных ».

Новости начали распространяться о кибератаке 12 августа, когда Крис Педерик объявил в Twitter, что хакеры проникли в его популярное расширение, Web Developer для Chrome..

Педерик Чирикать

В этот момент исследователи Proofpoint загрузили скомпрометированную версию 0.4.9, чтобы изолировать вредоносный код, введенный субъектом угрозы. Исследователи обнаружили, что после установки скомпрометированного расширения Chrome прошло десять минут, прежде чем он установил связь через HTTPS с удаленным сервером управления и контроля..

С этого сервера злоумышленники внедрили больше вредоносного кода (файл с именем ga.js) в скомпрометированное расширение Chrome. Указанные домены были на Cloudflare, и исследователи отметили, что они были сняты сразу, когда Proofpoint пометил их.

В это за деньги

Как чаще всего случается, когда происходит взлом, этот инцидент включал в себя холодные наличные. Хакеры использовали свое положение в восьми скомпрометированных расширениях Chrome, чтобы внедрить код, который добавил нежелательный Javascript. Это, в свою очередь, загружает рекламу поверх веб-страниц, чтобы создать поток дохода.

Взлом денег

По словам исследователей, большинство замен объявлений, которые они открыли для кода, предназначались для сайтов для взрослых, хотя вполне вероятно, что реклама на других сайтах также была заменена..

Тем не менее, многим людям также был предложен javascript, который информировал их о необходимости «починить» свой компьютер. Нажатие на официальное предупреждение перенаправило жертв на сервисы партнерской программы, от которых хакеры могли бы получить прибыль. Вот что блог Kafeine должен сказать о кибератаке:

«Активисты угроз продолжают искать новые способы привлечения трафика на партнерские программы и эффективного показа пользователям вредоносной рекламы..

«В описанных здесь случаях они используют скомпрометированные расширения Chrome для захвата трафика и замены рекламы в браузерах жертв».

Также возможно, что потребители понесли потерю данных из-за проникновения.

Betternet Logo 320 80

Betternet

Для пользователей Betternet - VPN, который хорошо известен тем, что обслуживает своих пользователей рекламой - это привело к тому, что пользователи обслужили рекламу хакерами. Один пользователь Betternet, заходящий за ручку kburton07 на сайт LinusTechTips, сказал, что утром 25 июня он разбудил множество рекламы по всему Chrome:

«Итак, я (до сегодняшнего дня) использовал Betternet VPN, чтобы я мог получить доступ к заблокированным сайтам в колледже, но сегодня, когда я загрузил свой ноутбук, у меня везде была реклама.

"Я открыл Chrome в качестве гостя, и они пошли. Естественно, я отключил все расширения и включил их одно за другим, чтобы найти проблему. И к моему удивлению это был Betternet.

"Если вы посмотрите на обзоры в Chrome Web Store, то, похоже, у всех возникла та же проблема, поэтому, если она установлена, удалите ее..

"Я не знаю, было ли это намеренно или их взломали, но до сих пор они, кажется, заслуживают уважения ».

Другие пользователи Betternet также сообщили, что их Chrome был залит необычной рекламой, что позволило Betternet точно определить проблему с расширением Chrome. Я связался с Betternet для комментария, и они подтвердили, что они действительно пострадали от негласного хака:

«Мы выявили и исправили эту проблему в тот же день, когда она произошла, 25 июня».

Держитесь подальше от VPN, которые обслуживают рекламу

Это еще раз подчеркивает проблемы использования бесплатных VPN с небезопасными политиками конфиденциальности. Службы VPN должны защищать конфиденциальность своих пользователей. Они делают это, позволяя им скрывать свое местоположение и шифруя свой веб-трафик..

Бесплатные VPN, такие как Betternet, HotSpot Shield, TouchVPN и многие другие, в своих политиках конфиденциальности указывают, что они собирают данные от своих пользователей, чтобы лучше ориентировать на них рекламу. Это крайне небезопасно и является противоположностью того, что должен делать VPN. Весь смысл VPN в том, чтобы потребители могли получить цифровую конфиденциальность, поэтому использование службы, которая прямо информирует потребителей о политике сбора и обмена данными, противоречит их цели..

Adware

К сожалению, индустрия VPN насыщена VPN, которые имеют плохую практику и больше заботятся о деньгах, чем о конфиденциальности своих подписчиков. Именно по этой причине на ProPrivacy.com мы тщательно проверяем VPN. Именно поэтому потребители должны быть очень внимательны при выборе VPN-провайдера..

Сказав это, VPN, такие как Betternet, служат определенной цели. Например, для людей, которые отчаянно нуждаются в обходе цензуры и которые не могут позволить себе более качественные услуги, такие бесплатные VPN могут быть находкой. Тем не менее, потребители должны четко осознавать, что такое VPN, а что нет для них. Не все VPN были созданы одинаково, и люди, которые хотят надежной конфиденциальности, должны хорошо подумать, прежде чем соглашаться на более низкую услугу.

Наконец, стоит отметить, что VPN, работающие в качестве расширения браузера, не считаются такими же безопасными, как VPN, работающие на заказном программном обеспечении VPN. Таким образом, если ваш VPN имеет собственный клиент, мы рекомендуем использовать его для подключения к VPN. Это защитит вас от подобных инцидентов, описанных в этой статье. На самом деле, расширения браузера - это кошмар безопасности в целом, поэтому вы всегда должны использовать как можно меньше - и убедитесь, что вы используете только авторитетные.!

Мнения автора.

Название изображения: Эван Лорн / Shutterstock.com

Изображение предоставлено: vectorfusionart / Shutterstock.com, Амирул Сяйди / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me