Hamis Google Táblázatok bővítmény

Kutatócsoportunk a megtévesztő webhelyek kivizsgálása során fedezte fel ezt a hamisított Google Táblázatok böngészőbővítményt. Ez a rosszindulatú szoftver a webalapú Google Docs Editors programcsomag táblázatkezelő alkalmazásának álcázza magát. Fontos tisztázni, hogy ez a bővítmény nem áll kapcsolatban a Google Táblázatokkal, a Google Dokumentumok Szerkesztőivel vagy a Google LLC-vel.

Az elemzés során megállapítottuk, hogy ezt a csalárd bővítményt érzékeny adatok gyűjtésére, a böngésző értesítéseinek megjelenítésére és esetlegesen egyéb káros tevékenységekre tervezték. Amikor ezt a hamis Google Táblázatok-bővítményt tartalmazó telepítést futtattuk, további nem kívánt és potenciálisan rosszindulatú szoftvereket is telepített tesztrendszerünkre.

Érdekes módon ezt az illegitim bővítményt nem telepítették közvetlenül sem a Google Chrome, sem a Microsoft Edge böngészőkre. Ehelyett a telepítő a bővítmény mappáját ("Extension" címmel) a "C:\Users[felhasználónév]\AppData\Local\Temp" könyvtárba helyezte. Ez a módszer biztosítja a tartósságot, ami azt jelenti, hogy a hamis Google Sheets bővítmény Chrome-ból vagy Edge-ből való eltávolítása nem szünteti meg teljesen. A szokásos eltávolítás után a szoftver újra megjelenik a böngésző újranyitásakor.

Ezen túlmenően, ha ez a bővítmény egy eszközön van, módosítja a Chrome vagy az Edge böngésző parancsikonját azáltal, hogy hozzáadja a "--proxy-server="217.65.2.14:3333"" kifejezést a célhoz (vegye figyelembe, hogy az IP-cím változhat). A szoftver eltávolítására vonatkozó utasítások alább találhatók.

Ez a hamis Google Táblázatok böngészőbővítmény a „szervezete által kezelt” funkciót is használja a Google Chrome és a Microsoft Edge rendszerben az irányítás gyakorlására.

Ezenkívül a bővítmény figyeli a felhasználók böngészési tevékenységét, és adatokat gyűjt, például böngészési és keresési előzményeket, letöltéseket, internetes sütiket, bejelentkezési adatokat (felhasználóneveket/jelszavakat) és pénzügyi információkat. Ezek az érzékeny adatok harmadik félnek értékesíthetők vagy haszonszerzés céljából felhasználhatók.

Ezenkívül a szélhámos bővítmény spam jellegű böngészőértesítéseket küldhet, amelyek online csalásokat, megbízhatatlan szoftvereket vagy akár rosszindulatú programokat hirdetnek. Lehetséges, hogy ez a böngészőbővítmény a leírtakon kívül más káros képességekkel is rendelkezik.

Mik azok a Rogue böngészőbővítmények?

A rosszindulatú böngészőbővítmények, más néven rosszindulatú vagy hamis böngészőbővítmények, olyan szoftverprogramokra utalnak, amelyek célja a felhasználók megtévesztése vagy káros tevékenységek elvégzése, amikor webböngészőbe, például Google Chrome-ba, Mozilla Firefoxba, Microsoft Edge-be vagy Safariba telepítve vannak. Úgy tűnik, hogy ezek a bővítmények hasznos szolgáltatásokat kínálnak, de valójában olyan műveleteket hajtanak végre, amelyek veszélyeztetik a felhasználói adatvédelmet, a biztonságot vagy a böngészési élményt. Íme a csaló böngészőbővítmények fő jellemzői és viselkedése:

Megtévesztő megjelenés: A szélhámos kiterjesztések gyakran utánozzák a legális böngészőbővítményeket, és hasznos eszközöknek vagy segédprogramoknak, például hirdetésblokkolóknak, letöltéskezelőknek vagy termelékenységnövelőknek mutatkoznak be. Megjelenésük és funkcionalitásuk nagyon hasonlít a megbízható bővítményekre, hogy rávegyék a felhasználókat a telepítésükre.

Jogosulatlan tevékenységek: A telepítést követően a szélhámos bővítmények jogosulatlan tevékenységeket végezhetnek a felhasználó beleegyezése nélkül. Ez magában foglalhatja az érzékeny adatok gyűjtését, a böngészőbeállítások módosítását, a hirdetések beszúrását vagy az internetes forgalom rosszindulatú webhelyekre való átirányítását.

Adatgyűjtés: A szélhámos bővítmények gyakran gyűjtik a felhasználók böngészési adatait, beleértve a meglátogatott webhelyeket, keresési lekérdezéseket, bejelentkezési adatokat és pénzügyi információkat. Ezek az adatok felhasználhatók reklámozási célokra, értékesíthetők harmadik félnek, vagy felhasználhatók személyazonosság-lopási és csalási programokban.

Böngésző módosítása: Egyes szélhámos bővítmények módosítják a böngésző beállításait, vagy nem kívánt tartalmat szúrnak be a weboldalakba. Módosíthatják az alapértelmezett keresőmotort, módosíthatják a kezdőlap beállításait, vagy tolakodó hirdetéseket (adware) jeleníthetnek meg.

Biztonsági kockázatok: A rosszindulatú böngészőbővítmények jelentős biztonsági kockázatokat jelentenek. Sebezhetőségeket juttathatnak be a böngészőbe, így további rosszindulatú programfertőzésekre tehetnek szert, vagy adathalász támadásoknak teszik ki a felhasználókat.

Terjesztési módszerek: A szélhámos bővítményeket gyakran megtévesztő taktikákkal, például hamis szoftverfrissítésekkel, félrevezető reklámokkal, szoftvercsomagokkal vagy adathalász e-mailekkel terjesztik. A felhasználók véletlenül telepíthetik ezeket a bővítményeket, miközben törvényes szoftvereket vagy bővítményeket próbálnak letölteni.

Perzisztencia és az eltávolítás nehézségei: A Rogue kiterjesztések technikákat alkalmazhatnak az észlelés és az eltávolítás elkerülésére. A manuális törlés után is újratelepíthetik magukat, módosíthatják a böngésző parancsikonjait, vagy használhatják a böngésző funkcióit (pl. „Az Ön szervezete által kezelt” a Chrome-ban), hogy megakadályozzák az egyszerű eltávolítást.