VPN-расширения воруют данные из буфера обмена

Исследователи кибербезопасности раскрыли новую угрозу, маскирующуюся под инструменты для защиты приватности. Согласно недавнему анализу команды Socket по исследованию угроз, в двух расширениях для браузера, позиционируемых как VPN Go: Free VPN и доступных как в Chrome Web Store, так и на маркетплейсе дополнений Mozilla Firefox, выявлено вредоносное поведение.

Вместо того чтобы просто обеспечивать заявленное проксирование трафика, эти расширения внедряют механизмы для непрерывной кражи критически важной информации. Они незаметно захватывают и передают конфиденциальные текстовые данные на инфраструктуру, контролируемую злоумышленниками, превращая стремление пользователей к анонимности в катастрофическую утечку данных.

Механизм атаки: Охота за буфером обмена

Ключевой техникой, эксплуатируемой вредоносным программным обеспечением, является кража содержимого буфера обмена. Это ВПО, известное как «клипперы», эксплуатирует легитимное поведение пользователей, позволяя злоумышленникам собирать ценные учетные данные без необходимости сложной установки или закрепления на хост-системе. Атака не требует взаимодействия с файловой системой: вредонос просто отслеживает то, что пользователи копируют, мгновенно перенаправляя данные.

Примечательно, что вредоносные функции проявляются только после того, как расширения проходят определенные обновления. Эта тактика скрывает их истинное назначение от пользователей, которые ищут решения для конфиденциальности и не подозревают, что скачали эксфильтратор для:

  • Паролей;
  • API-ключей;
  • Криптографических seed-фраз;
  • Другой чувствительной текстовой информации.

Эволюция угрозы: от прокси до клиппера

Аналитики Socket зафиксировали тревожную схему развития расширений. В изначальных версиях VPN Go: Free VPN вели себя как легитимные прокси-инструменты, не проявляя вредоносной активности. Однако ситуация кардинально изменилась с выходом обновлений:

  • Chrome Web Store (начиная с версии 1.1): Была внедрена логика мониторинга содержимого буфера обмена. Скрипт считывает данные каждые 500 миллисекунд, разбивает текст на сегменты и передает его на жестко закодированный URL для эксфильтрации.
  • Последующие версии (1.2 и 1.3): Злоумышленники перемещали точки эксфильтрации с одного IP-адреса на другой, что указывает на стратегию уклонения от обнаружения и блокировок.
  • Вариант Firefox (версия 1.3.3): Следовал аналогичной схеме, став первой версией на этой платформе с внедренными возможностями кражи данных, синхронизировавшись с переходом инфраструктуры, замеченным в Chrome-расширении.

Код структурирован так, чтобы получать доступ к данным из буфера обмена напрямую, без необходимости кликов или иных действий пользователя, обеспечивая непрерывный мониторинг скопированного текста.

VPN как дымовая завеса

Оба расширения активно используют функции VPN якобы в качестве прикрытия для своих вредоносных операций. Они действительно предоставляют возможность управлять настройками прокси и маршрутизировать трафик браузера. Это убивает двух зайцев: сохраняет видимость легитимности в глазах пользователей и, что более опасно, потенциально позволяет злоумышленникам перехватывать конфиденциальные данные уже непосредственно в процессе передачи, комбинируя атаку с MITM-рисками.

Рекомендации по защите и реагированию

Пользователям настоятельно рекомендуется незамедлительно удалить эти расширения из своих браузеров. Более того, любые конфиденциальные данные, скопированные в буфер обмена во время работы расширений, следует рассматривать как потенциально скомпрометированные и требующие немедленной замены.

Для организаций выпущены следующие инструкции:

  • Провести тщательную инвентаризацию установленных расширений, уделив особое внимание тем, которые запрашивают широкие разрешения на доступ к буферу обмена и веб-взаимодействиям.
  • Внедрить проактивный поиск угроз для любых HTTP-запросов, направленных на выявленные конечные точки эксфильтрации, чтобы идентифицировать и смягчить потенциальные нарушения на сетевом уровне.

Специалисты Socket отмечают, что техники и векторы атак, применяемые в этой кампании, соответствуют фреймворку MITRE ATT&CK, в частности, категориям, связанным с расширениями браузера, выполнением с участием пользователя и эксфильтрацией данных. Это отражает тревожную эволюцию ландшафта киберугроз, где вредоносный код прячется внутри кажущихся безобидными приложений, напрямую апеллирующих к заботе пользователей о безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: