Extensia ascunsă este răspândită prin intermediul „injection attacks" JavaScript, adică „ Nu aveți instalat Flash, utilizați această extensie Chrome". Atunci când utilizatorii nu știu sau nu fac clic pe aceste linkuri, declanșează o redirecţionare automată la extensia malware.
Extensia, creată de fbsgang.info, se proclamă a fi un "Flash Reader" și încorporează o funcție în fiecare site web vizitat de utilizatorul vizat. Ori de câte ori detectează modele de numere de credit specifice formatelor de carduri Visa, Mastercard, American Express și Discovery introduse într-un formular web, acestea le trimit automat atacatorului prin intermediul unei solicitări AJAX (în esență, un mesaj care comunică direct cu serverul fără a întrerupe afișarea sau comportamentul normal al paginii web active).
Informațiile furate includ numele emitentului cardului, datele de expirare și codurile CVV / CVC.
Vestea bună este că infecția nu este răspândită, deoarece 400 de instalații au fost detectate, ceea ce înseamnă că acoperirea acesteia este limitată.
Google a fost avertizat de firma ElevenPaths de la Cybersecurity la începutul anului trecut, însă extensia care a fost încălcată a existat până în ultima vreme în Magazinul Web. Când a fost detectată, această extensie a fost instalată de 400 de ori. Infrastructura nu a fost răspândită masiv până acum.
Cum se răspândește?
În loc să vizeze victimele prin căutări sau prin e-mailuri masive - ceea ce ar face ca această campanie să fie mult mai reușită, dar în același timp mult mai "detectabilă" - atacatorii au optat pentru o altă metodă: infectează site-urile Web utilizând un JavaScript care poate detecta dacă browserul este Chrome. Într-un astfel de caz, aceștia doar redirecționează către un site web indicând utilizatorilor că trebuie să instaleze Flash și apoi sunt redirecționați către respectiva extensie. În următoarea imagine puteți observa fragmentul JavaScript injectat pe site-urile web.
Cu alte cuvinte, solicită utilizatorilor să instaleze Adobe Flash sau să le redirecționeze către piața extensiilor Chrome (în special la extensia pe care am remarcat-o la început). Printre site-urile web, vă recomandăm să căutați un JavaScript cu structura prezentată anterior, astfel încât să vedeți dacă vreuna dintre ele este infectată. Chiar dacă atacul pare să fi fost "oprit", extinderea este încă o amenințare gravă. Are hash-ul lui: 4d2efd3eebcae2b26ad3009915c6ef0cf69a0ebf .