НКЦКИ предупреждает об угрозе внесения разработчиками недокументированных функций в расширения для браузеров

НКЦКИ предупреждает об угрозе внесения разработчиками недокументированных функций в расширения для браузеров

НКЦКИ предупреждает об угрозе внесения разработчиками недокументированных функций в расширения для браузеров

В настоящее время актуальна угроза, которая связана с возможностью модификации распространённых интернет-браузеров посредством установки дополнительных программных расширений (плагинов), имеющих различную функциональность (блокирование навязчивой рекламы, обеспечение хранения паролей и т. д.).

В большинстве случаев расширения для браузеров являются программными продуктами с открытым исходным кодом. Перед добавлением подобных продуктов в официальные каталоги расширений для браузеров проводится внешний аудит содержащегося в них кода. Однако, несмотря на проведение проверки перед первичной публикацией программного продукта, при его последующем обновлении возможно внедрение вредоносного кода, обеспечивающего выполнение недекларируемых функций.

К таким функциям можно отнести:

  • перехват и модифицикация HTTP-запросов и ответов;
  • изменение элементов отображаемых страниц;
  • удаленное управление интерфейсом браузера (открытие и закрытие вкладкок, добавление элементов в контекстном меню);
  • управление списком расширений;
  • отслеживание нажатий кнопок клавиатуры и мыши;
  • чтение истории браузера.

В результате добавления такого функционала вредоносные расширения могут перехватить логины и пароли от учётных записей пользователей, реквизиты банковских карт, а также обойти механизмы защиты, в частности, двухфакторную аутентификацию.

Примером вредоносной модификации плагина является расширение «Видео в режиме картинка в картинке», изначально предназначенное для воспроизведения потокового видео в интернет-браузере Google Chrome поверх остальных открытых вкладок. Имеются факты его использования для организации массированных компьютерных атак на информационную инфраструктуру Российской Федерации. При обновлении в данное расширение был внедрен вредоносный код. В результате компьютеры российских интернет-пользователей, у которых в браузере установлен этот плагин, стали участниками бот-сети, ведущей атаки на информационные ресурсы Российской Федерации.

При работе указанного программного расширения происходит переход по вредоносной ссылке «HxxPS[:]//XN--80AAFYZIXH[.]XN JLAMH/&VED=2AHUKEWIQMCJZORH2AHWWIYSKHYGXCVOQFNOECAQQAQ&USG=AOVVAWQ0AYZ2I95OEYWHUL1H9K_R», после чего посредством выполнения JavaScript-кода компьютер пользователя становится участником массированных атак типа «отказ в обслуживании» (DDoS-атак). Затем с сайта «Павутина[.]укр» считываются сетевые реквизиты целей атак (информационные ресурсы государственных органов и СМИ), на которые направляется большое количество «мусорных» запросов типа GET. В случае отключения данного плагина массированная отправка запросов с компьютера пользователя не ведётся.

Национальный координационный центр по компьютерным инцидентам рекомендует пользователям минимизировать или отказаться от использования расширений браузеров, если в этом отсутствует прямая необходимость.