Falsk Google Sheets-utvidelse

Forskningsteamet vårt avdekket denne forfalskede Google Sheets-nettleserutvidelsen under en undersøkelse av villedende nettsteder. Denne ondsinnede programvaren maskerer seg som et regnearkprogram fra den nettbaserte Google Docs Editors-pakken. Det er viktig å presisere at denne utvidelsen ikke har noen tilknytning til Google Sheets, Google Docs Editors eller Google LLC.

Ved analyse slo vi fast at denne uredelige utvidelsen er designet for å samle inn sensitive data, vise nettleservarsler og potensielt delta i andre skadelige aktiviteter. Da vi kjørte oppsettet som inneholder denne falske Google Sheets-utvidelsen, installerte den også ytterligere uønsket og potensielt skadelig programvare på testsystemet vårt.

Interessant nok ble ikke denne illegitime utvidelsen installert på verken Google Chrome eller Microsoft Edge-nettlesere. I stedet plasserte installasjonsprogrammet utvidelsens mappe (med tittelen "Extension") i katalogen "C:\Users[brukernavn]\AppData\Local\Temp". Denne metoden sikrer utholdenhet, noe som betyr at fjerning av den falske Google Sheets-utvidelsen fra Chrome eller Edge ikke vil eliminere den helt. Etter standard fjerning vil programvaren dukke opp igjen når nettleseren åpnes på nytt.

Videre, å ha denne utvidelsen på en enhet endrer Chrome- eller Edge-nettleserens snarvei ved å legge til "--proxy-server="217.65.2.14:3333"" til målet (merk at IP-adressen kan variere). Instruksjoner for fjerning av denne programvaren finner du nedenfor.

Denne falske Google Sheets-nettleserutvidelsen bruker også funksjonen "Administrert av organisasjonen din" på Google Chrome og Microsoft Edge for å utøve kontroll.

I tillegg overvåker utvidelsen brukernes nettleseraktivitet, samler inn data som nettleser- og søkehistorikk, nedlastinger, Internett-informasjonskapsler, påloggingsinformasjon (brukernavn/passord) og finansiell informasjon. Disse sensitive dataene kan selges til tredjeparter eller utnyttes for profitt.

Dessuten kan den useriøse utvidelsen levere nettleservarsler om nettsøppel som fremmer nettsvindel, upålitelig programvare eller til og med skadelig programvare. Det er mulig at denne nettleserutvidelsen har andre skadelige funksjoner utover de som er beskrevet.

Hva er Rogue Browser Extensions?

Rogue nettleserutvidelser, også kjent som ondsinnede eller falske nettleserutvidelser, refererer til programmer som er utviklet for å lure brukere eller delta i skadelige aktiviteter når de installeres i nettlesere som Google Chrome, Mozilla Firefox, Microsoft Edge eller Safari. Disse utvidelsene ser ut til å tilby nyttige funksjoner eller funksjonalitet, men utfører faktisk handlinger som kompromitterer brukerens personvern, sikkerhet eller nettleseropplevelse. Her er nøkkelegenskaper og oppførsel til useriøse nettleserutvidelser:

Villedende utseende: Falske utvidelser etterligner ofte legitime nettlesertillegg, og presenterer seg selv som nyttige verktøy eller verktøy som annonseblokkere, nedlastingsadministratorer eller produktivitetsforsterkere. Utseendet og funksjonaliteten deres kan ligne på pålitelige utvidelser for å lure brukere til å installere dem.

Uautoriserte aktiviteter: Når de er installert, kan useriøse utvidelser utføre uautoriserte aktiviteter uten brukerens samtykke. Dette kan inkludere innsamling av sensitive data, endring av nettleserinnstillinger, injisering av annonser eller omdirigering av nettrafikk til ondsinnede nettsteder.

Datainnsamling: Rogue utvidelser samler ofte brukernes nettleserdata, inkludert besøkte nettsteder, søk, påloggingsinformasjon og finansiell informasjon. Disse dataene kan utnyttes til reklameformål, selges til tredjeparter eller brukes i identitetstyveri og svindelordninger.

Nettleserendring: Noen useriøse utvidelser endrer nettleserinnstillinger eller injiserer uønsket innhold på nettsider. De kan endre standard søkemotor, endre hjemmesideinnstillinger eller vise påtrengende annonser (adware).

Sikkerhetsrisiko: Rogue nettleserutvidelser utgjør betydelige sikkerhetsrisikoer. De kan introdusere sårbarheter i nettleseren, noe som gjør den utsatt for ytterligere skadelig programvareinfeksjon eller utsetter brukere for phishing-angrep.

Distribusjonsmetoder: Rogue utvidelser distribueres ofte gjennom villedende taktikker som falske programvareoppdateringer, villedende annonser, medfølgende programvarepakker eller phishing-e-poster. Brukere kan utilsiktet installere disse utvidelsene mens de prøver å laste ned legitim programvare eller utvidelser.

Utholdenhet og vanskeligheter med å fjerne: Rogue utvidelser kan bruke teknikker for å unngå oppdagelse og fjerning. De kan installere seg selv på nytt selv etter å ha blitt manuelt slettet, endre nettlesersnarveier eller bruke nettleserfunksjoner (f.eks. «Administrert av organisasjonen din» i Chrome) for å forhindre enkel fjerning.