Angara Security
@angarasecurity
Удали прямо сейчас! Как браузерные расширения компрометируют пользователей
Блокировщик рекламы, VPN, AI-ассистент или менеджер паролей — всё это стало частью повседневной работы. Но именно здесь кроется и вектор для атаки. В одном из недавних расследований мы зафиксировали компрометацию рабочей учётной записи сотрудника через внешне безобидное, но вредоносное браузерное расширение: злоумышленник получил корпоративные учётные данные для одной из систем и проник во внутреннюю инфраструктуру организации. А что еще умеют вредоносные расширения?
Красть не только учётные, но и платёжные данные. Расширение перехватывает всё, что вы вводите в браузере: логины, пароли, данные карт
Подмена крипто-адресов. Классическая схема: скопировал адрес кошелька, вставил — а там уже адрес атакующего
Кликджекинг и инъекция рекламы. Расширение внедряет рекламу на любые сайты, вынуждая пользователя совершать неумышленные переходы по рекламным ссылкам
Сбор и продажа истории браузера, в том числе напрямую злоумышленникам
Как расширение попадает в браузер:
Пиратский софт и кряки
Фейковые «полезные» расширения
Социальная инженерия и баннеры вида «установите расширение для корректного отображения»
Что можно сделать прямо сейчас
Если вы пользователь — откройте расширения в своём браузере:
Chrome:
Firefox:
Edge:
Opera:
Яндекс:
Удалите всё, чем не пользуетесь или не помните, зачем ставили. Не доверяйте расширениям с единицами установок, особенно если там заявлен известный вендор!
Если вы ИТ-администратор — закройте вопрос через GPO. Белый список расширений в Chrome:
Политика ExtensionInstallAllowlist — разрешаем только то, что нужно. Чёрный список (ExtensionInstallBlocklist) работает, но значительно слабее: атакующий всегда может использовать расширение, которое вы не внесли
🔗 А почитать более детально, как расширения устроены изнутри и каким образом злоумышленники могут их использовать, можно в нашей статье на Хабре
MAX | ВКонтакте | Сайт
@angarasecurity
Блокировщик рекламы, VPN, AI-ассистент или менеджер паролей — всё это стало частью повседневной работы. Но именно здесь кроется и вектор для атаки. В одном из недавних расследований мы зафиксировали компрометацию рабочей учётной записи сотрудника через внешне безобидное, но вредоносное браузерное расширение: злоумышленник получил корпоративные учётные данные для одной из систем и проник во внутреннюю инфраструктуру организации. А что еще умеют вредоносные расширения?
Красть не только учётные, но и платёжные данные. Расширение перехватывает всё, что вы вводите в браузере: логины, пароли, данные карт Подмена крипто-адресов. Классическая схема: скопировал адрес кошелька, вставил — а там уже адрес атакующего Кликджекинг и инъекция рекламы. Расширение внедряет рекламу на любые сайты, вынуждая пользователя совершать неумышленные переходы по рекламным ссылкам Сбор и продажа истории браузера, в том числе напрямую злоумышленникамКак расширение попадает в браузер:
Пиратский софт и кряки
Фейковые «полезные» расширения
Социальная инженерия и баннеры вида «установите расширение для корректного отображения»
Что можно сделать прямо сейчас
Если вы пользователь — откройте расширения в своём браузере:
Chrome:
chrome://extensions/Firefox:
about:addonsEdge:
edge://extensions/Opera:
opera://extensions/Яндекс:
browser://extensions/Удалите всё, чем не пользуетесь или не помните, зачем ставили. Не доверяйте расширениям с единицами установок, особенно если там заявлен известный вендор!
Если вы ИТ-администратор — закройте вопрос через GPO. Белый список расширений в Chrome:
Computer Configuration →
Administrative Templates →
Google → Google Chrome →
Extensions → Configure the list of force-installed apps and extensionsПолитика ExtensionInstallAllowlist — разрешаем только то, что нужно. Чёрный список (ExtensionInstallBlocklist) работает, но значительно слабее: атакующий всегда может использовать расширение, которое вы не внесли
🔗 А почитать более детально, как расширения устроены изнутри и каким образом злоумышленники могут их использовать, можно в нашей статье на Хабре
MAX | ВКонтакте | Сайт
@angarasecurity
Хабр
Вредоносные расширения. Как браузер работает на атакующего
Всем привет! Сегодня с нами отдел исследования киберугроз Angara Security и его эксперт Артемий Цецерский. Поговорим о вредоносных расширениях браузера и о том, как их эксплуатируют...
🔥 11
8
❤ 5
12 874
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram