Функцию синхронизации Google Chrome можно использовать для кражи данных

Злоумышленники обнаружили, что они могут использовать функцию синхронизации Google Chrome для отправки команд заражённым браузерам и кражи данных из заражённых систем, минуя традиционные брандмауэры и другие средства защиты сети.
Функцию синхронизации Google Chrome можно использовать для кражи данных

Синхронизацию Chrome можно использовать для кражи данных. Никогда не было и вот опять! Фото: Pixabay

Синхронизация — это функция веб-браузера Chrome, которая хранит копии пользовательских закладок Chrome, историю просмотров, пароли, а также настройки браузера и расширений на облачных серверах Google.

Эта функция используется для синхронизации этих данных между различными устройствами пользователя, поэтому пользователь всегда имеет доступ к своим последним данным Chrome, где бы они ни находились.

Боян Здрня, хорватский исследователь безопасности, сказал в четверг, что во время недавнего реагирования на инцидент он обнаружил, что вредоносное расширение Chrome злоупотребляло функцией синхронизации Chrome как способом связи с сервером удалённого управления и контроля (C&C) для извлечения данных из заражённых браузеров.

Здрня сказал, что в инциденте, который он расследовал, злоумышленники получили доступ к компьютеру жертвы, но поскольку данные, которые они хотели украсть, находились внутри портала сотрудника, они загрузили расширение Chrome на компьютер пользователя и запустили его через режим разработчика браузера.

Расширение, которое выдавалось за надстройку безопасности от охранной фирмы Forcepoint, содержало вредоносный код, который злоупотреблял функцией синхронизации Chrome, чтобы позволить злоумышленникам контролировать заражённый браузер.

Исследователь сказал, что целью этого конкретного злоумышленника было использование расширения для «манипулирования данными во внутреннем веб-приложении, к которому жертва имела доступ».

Вредоносный код, обнаруженный в расширении, предполагал, что злоумышленник использовал вредоносную надстройку для создания текстового поля для хранения ключей токенов, которые затем будут синхронизироваться с облачными серверами Google в рамках функции синхронизации.

«Чтобы установить, прочитать или удалить эти ключи, все, что нужно сделать злоумышленнику, - это войти в систему с той же учётной записью в Google, в другом браузере Chrome (и это может быть одноразовая учётная запись), и он сможет взаимодействовать с браузером Chrome в сети жертвы, злоупотребляя инфраструктурой Google», - сказал он.

По словам Здрня, в ключевом поле могут храниться любые данные.

Это могут быть данные, собранные вредоносным расширением о заражённом браузере (например, имена пользователей, пароли, криптографические ключи и т. д.), или команды, которые злоумышленник хотел, чтобы расширение выполнялось на заражённой рабочей станции.

Читайте в тему:

Таким образом, расширение может использоваться как канал утечки из корпоративных сетей в браузер Chrome злоумышленника или как способ управлять заражённым браузером издалека, минуя локальные средства защиты.

Поскольку украденный контент или последующие команды отправляются через инфраструктуру Chrome, ни одна из этих операций не будет проверяться или блокироваться в большинстве корпоративных сетей, где браузеру Chrome обычно разрешено беспрепятственно работать и передавать данные.

«Теперь, если вы думаете о блокировке доступа к clients4.google.com, будьте осторожны - это очень важный веб-сайт для Chrome, который также используется для проверки того, подключён ли Chrome к Интернету (среди прочего)», — предупреждает исследователь.

Вместо этого исследователь призвал компании использовать корпоративные функции Chrome и поддержку групповой политики, чтобы блокировать и контролировать, какие расширения могут быть установлены в браузере, предотвращая установку мошеннических расширений, подобных тому, которое он исследовал.

Ранее Startpack сообщал, что Chrome блокирует популярное расширение The Great Suspender.

Startpack также подготовил список инструментов, которые помогают автоматизировать процессы email-маркетинга. Продукты и программные решения позволяют проводить A/B-тесты, вести почтовые рассылки, работать с базами данных адресатов и сегментировать их по параметрам.

Особая рекомендация: SendPulse — многоканальный сервис для создания и отправки email рассылок, бесплатных web push уведомлений, транзакционных писем, SMS и Viber рассылок. Предоставляет подробную статистику для анализа и улучшения email рассылок.

 

Больше интересного

Актуальное

Инженер Microsoft нашёл способ решения большой проблемы Teams
Google объявила о запуске следующего крупного релиза платформы управления Apgiee API
EdTech-сервис Class потратит ещё 30 млн долларов на продолжение интеграции с Zoom
Ещё…