Više od stotinu ekstenzija za Google Chrome povezano je sa sofisticiranom kampanjom zlonamjernog softvera koja je prikupljala osjetljive podatke korisnika, otvarala tajne pristupe pretraživaču, a u jednom slučaju čak i izvlačila podatke o aktivnim sesijama na Telegram Web-u. Istraživači su otkrili da je 108 dodataka povezano sa istom kontrolnom mrežom, a u trenutku objavljivanja nalaza, u Chrome Web Store-u je bilo zabilježeno oko 20.000 instalacija.

Ono što ovaj slučaj čini posebno zabrinjavajućim je raznolikost tih dodataka. Ekstenzije su se predstavljale kao alati za Telegram, slot i Keno igre, alati za prevođenje, pomoćnici za YouTube i TikTok, kao i osnovni alati za stranice, što je operaciji omogućilo da se prikrije među vrstama dodataka koje ljudi često instaliraju bez puno razmišljanja. Kompletnu listu možete pogledati ovdje.

Istraživači su istaknuli da su ekstenzije bile aktivne u vrijeme objave izvještaja, a zahtjevi za njihovo uklanjanje su već bili podneseni. Ova priča je izuzetno važna za sve korisnike Chrome-a koji dugo nisu provjeravali svoje instalirane dodatke.

Širok spektar zlonamjernih aktivnosti

Šteta nije bila ograničena na jednu metodu. Istraživanje je pokazalo da je 54 ekstenzije prikupljalo detalje o identitetu Google naloga nakon što bi korisnik kliknuo na dugme za prijavu, dok je jedna ekstenzija fokusirana na Telegram izvlačila podatke o aktivnoj sesiji na Telegram Web-u na svakih 15 sekundi. Drugih 45 ekstenzija uključivalo je rutinu koja je mogla otvarati nasumične URL adrese svaki put kada se Chrome pokrene, čak i ako korisnik tog dana nije aktivirao tu ekstenziju.

Veći problem je što su ovi zlonamjerni dodaci izgledali potpuno normalno. Nisu se radilo o nekim opskurnim alatima za napredne korisnike. Na listi su se našle igre, pomoćnici za pretraživač, klijenti za bočne trake i dodaci za prevođenje – upravo ona vrsta dodataka koje ljudi preuzimaju jer stranica prodavnice izgleda profesionalno, a funkcije se čine korisnima.

Hitne mjere zaštite

Najpametniji sljedeći korak za korisnike je revizija svega što je instalirano u Chrome-u, posebno bilo čega povezanog sa Telegramom, laganim igrama, prevođenjem ili uslužnim programima za bočne trake koji su tražili pristup prijavi bez jasnog razloga. Istraživanje navodi 108 ekstenzija po imenu i ID-u i preporučuje trenutno uklanjanje bilo kog podudaranja.

Slučaj sa najvećim rizikom čini se da je ona Telegram ekstenzija koja je kontinuirano izvlačila podatke o veb sesiji. Svako ko ju je koristio dok je bio prijavljen na Telegram Web trebao bi prekinuti ostale Telegram sesije putem mobilne aplikacije, a korisnici koji su se prijavili na jednu od ekstenzija povezanih sa Google-om trebali bi pregledati pristup svom nalogu i opozvati sve što im je nepoznato.