Расширение к браузерам может оказаться многофункциональным вирусом

Специалист по антивирусной защите Золтан Базалс (Zoltan Balazs) заявил о создании специальной программы, которая выглядит как расширение к браузеру и выполняет практически все функции, характерные для вредоносного ПО.

В частности, созданное Базалсом расширение поддерживает удаленное управление, модификацию просматриваемых web-страниц, загрузку и исполнение внешнего кода, кражу регистрационных данных для входа в различные сервисы, обход двухфакторной авторизации на web-сайтах и многое другое. Кроме всего прочего, Базалс обещает обнародовать код своей программы в публичном репозитарии GitHub в качестве экспериментального подтверждения своих выводов об уязвимостях современных браузеров.

Сам Базалс работает в венгерском филиале известной консалтинговой компании Deloitte. Своим продуктом он решил показать, какие риски могут нести в себе расширения для браузеров, и привлечь внимание антивирусной индустрии к этой проблеме. До открытой публикации Базалс поделился своим кодом с крупнейшими производителями антивирусов.

Случаи использования браузерных расширений в криминальных целях уже известны. Так, в мае этого года было обнаружено расширение к браузеру Chrome, которое вставляло фальшивую рекламу в страницы на сайте Wikipedia. Тем не менее, до сих пор вредоносные расширения в основном служили для мошенничества с онлайн-рекламой или для обработки поисковых запросов на фальшивых сайтах. Разработка Базалса показывает, что подобные расширения могут использоваться для куда более серьезных атак.

Для проверки своих догадок Базалс создал расширения для браузеров Firefox, Chrome и Safari, а вскоре собирается представить еще одну версию для Internet Explorer. Эти расширения можно использовать для похищения меток сеанса (cookie) и даже для обмана систем двухфакторной проверки личности – это позволяет «угонять» учетные записи на самых разных web-сайтах.

Версия для Firefox также умеет похищать пароли из встроенного диспетчера паролей, загружать и исполнять файлы (только в среде Windows), менять содержимое web-страниц, как это делают «банковские троянцы» для скрытия информации о похищенных средствах. Кроме того, поддерживается снятие изображение с web-камеры через Flash-приложение на web-странице и работа в качестве прокси-сервера для протокола HTTP, что позволяет злоумышленнику проникать в сеть жертвы. Данное расширение работает даже с Android-версией браузера Firefox, где поддерживает чуть меньше функций, зато определяет и передает наружу географические координаты устройства.

Версия расширения для Chrome не поддерживает загрузку, отправку и исполнение файлов, по крайней мере, сейчас. Разработчик утверждает, что ему было просто некогда реализовать эти функции. В то же время, технология Native Client (NaCl) в браузере Chrome, предназначенная для запуска кода на языках C и C++ из web-приложений, позволяет взламывать хэш-коды зашифрованных паролей. Одному из коллег Базалса удалось даже написать распределенную систему взлома паролей для технологии Chrome NaCl.

Версия расширения для Safari, как говорит разработчик, оказалась самой простой в реализации, поскольку расширения для Chrome легко преобразуются в расширения для Safari. Из-за особенностей работы с расширениями вредоносный трафик неотличим от обычного, так что даже с помощью брандмауэра (персонального или сетевого) определить и выявить его почти невозможно.

Трудность распространения таких расширений отличается в разных браузерах. Для Firefox проще всего использовать социальную инженерию – нужно просто убедить пользователей, что им нужно установить данное расширение. Дело в том, что Firefox поддерживает установку сторонних расширений из неизвестных источников. В отличие от Firefox, браузер Chrome поддерживает расширения только из официального магазина приложений. Здесь остается два способа – публикация вредоносного расширения в официальном магазине какими-то путями, либо прямое копирование вредоносных файлов в папку расширений прямо на машине жертвы.

На данный момент Базалсу не удалось добиться незаметной установки вредоносного расширения в браузер Chrome, однако он опасается, что авторы настоящих вирусов уже научились делать это. По мнению Базалса, всем производителям браузеров следует строго ограничить возможности для установки расширений, как в браузере Google – это довольно действенная мера. Кроме того, антивирусным компаниям стоит обратить более пристальное внимание на опасность угрозы в браузерных расширениях. На данный момент механизм обнаружения опасных расширений находится в зачаточной стадии: Базалс утверждает, что даже при внесении сигнатур его программы в базы антивирусов, он может легко избежать обнаружения путем внесения минимальных изменений в код своего расширения.