Acht Chrome-extensies gehackt – inclusief twee VPN’s!

Beveiligingsexperts van Proofpoint hebben informatie vrijgegeven over een recente hack die in totaal twee Virtual Private Networks (VPN's) en acht Chrome-apps trof. De betrokken VPN's waren Betternet en TouchVPN. Het is mogelijk dat hun abonnees tijdens de vermoedelijke aanval in juni zijn blootgesteld aan kwaadaardige pop-ups en gegevensdiefstal.

De ontdekking werd gedaan door Kafeine, een groep onderzoekers van het cybersecuritybedrijf Proofpoint in Californië. Die experts ontdekten dat een relatief eenvoudige exploit met een phishing-schema hackers controle had gegeven over een aantal accounts van Chrome-ontwikkelaars. Hier is een volledige lijst van alle getroffen apps:

  • Copyfish
  • Webontwikkelaar
  • Chrometana 1.1.3 [bron]
  • Infinity Nieuw tabblad 3.12.3
  • Web Paint 1.2.1 [bron]
  • Social Fixer 20.1.1 [bron]
  • TouchVPN
  • Betternet VPN

Simple Attack Vector

Volgens de onderzoekers gebruikten de hackers een eenvoudige phishingtechniek, waarbij app-ontwikkelaars werden omgeleid naar een nep-kopie van de inlogpagina van het Google-account. Op deze valse inlogpagina werden ze van hun inloggegevens verwijderd, waardoor de cybercriminelen toegang kregen tot de interne werking van de apps. Van het Kafeine-blog:

"Eind juli en begin augustus kwamen verschillende Chrome-extensies in gevaar nadat de inloggegevens van hun auteur waren gestolen via een phishing-schema. Dit resulteerde in kaping van verkeer en het blootstellen van gebruikers aan potentieel kwaadaardige pop-ups en diefstal van inloggegevens. ”

Nieuws begon voor het eerst te circuleren over de cyberaanval op 12 augustus, toen Chris Pederick op Twitter aankondigde dat hackers zijn populaire extensie, Web Developer voor Chrome, waren binnengedrongen.

Pederick Tweet

Op dat moment hebben de Proofpoint-onderzoekers de gecompromitteerde versie 0.4.9 gedownload om de schadelijke code te isoleren die de bedreigingsacteur had geïnjecteerd. De onderzoekers ontdekten dat nadat de gecompromitteerde Chrome-extensie was geïnstalleerd, deze tien minuten wachtte voordat hij via HTTPS met een externe Command and Control-server communiceerde.

Vanaf die server hebben de cybercriminelen meer kwaadaardige code (een bestand met de naam ga.js) geïnjecteerd in de gecompromitteerde Chrome-extensie. De domeinen in kwestie waren op Cloudflare en de onderzoekers hebben vastgesteld dat ze onmiddellijk werden verwijderd toen Proofpoint ze markeerde.

Daarin voor het geld

Zoals meestal het geval is wanneer er sprake is van hacken, ging dit incident gepaard met koud hard geld. De hackers gebruikten hun positie binnen de acht gecompromitteerde Chrome-extensies om code te injecteren die ongewenste Javascript toevoegt. Dat op zijn beurt advertenties op webpagina's laadde om een ​​inkomstenstroom te creëren.

Geld hacken

Volgens de onderzoekers waren de meeste advertentie-substituties waarvoor ze de code hadden ontdekt, gericht op websites voor volwassenen, hoewel het waarschijnlijk is dat advertenties op andere sites ook werden vervangen.

Veel mensen kregen echter ook een javascript-prompt om hen te informeren dat ze hun pc moesten 'repareren'. Door op de officieel ogende waarschuwing te klikken, werden de slachtoffers doorverwezen naar gelieerde programmadiensten waarvan de hackers zouden profiteren. Dit is wat de Kafeine-blog te zeggen had over de cyberaanval:

“Bedreigingsactoren blijven zoeken naar nieuwe manieren om verkeer naar aangesloten programma's te leiden en kwaadaardige advertenties effectief aan gebruikers te melden.

"In de hier beschreven gevallen gebruiken ze gecompromitteerde Chrome-extensies om verkeer te kapen en advertenties in de browsers van slachtoffers te vervangen."

Het is ook mogelijk dat consumenten gegevensverlies hebben geleden door de penetratie.

Betternet-logo 320 80

Betternet

Voor gebruikers van Betternet - een VPN die erom bekend staat dat het zijn gebruikers advertenties aanbiedt - leidde dit ertoe dat gebruikers advertenties van de hackers kregen. Een Betternet-gebruiker die kburton07 op de website LinusTechTips gebruikte, zei dat hij in de ochtend van 25 juni was ontwaakt voor een spervuur ​​van advertenties in Chrome:

“Dus, ik gebruikte (tot vandaag toe) Betternet VPN zodat ik toegang kon krijgen tot geblokkeerde sites op de universiteit, maar toen ik vandaag mijn laptop laadde, had ik overal advertenties.

"Ik opende Chrome als gast en ze gingen. Daarom heb ik natuurlijk alle extensies uitgeschakeld en een voor een ingeschakeld om het probleem te vinden. En tot mijn verrassing was het Betternet.

"Als je naar de beoordelingen in de Chrome Web Store kijkt, lijkt iedereen hetzelfde probleem te hebben, dus als je het hebt geïnstalleerd, verwijder het dan.

"Ik weet niet of het opzettelijk was of dat ze waren gehackt, maar tot nu toe lijken ze gerenommeerd te zijn. "

Anderen Betternet-gebruikers meldden ook dat hun Chrome werd overspoeld met ongebruikelijke advertenties, waardoor Betternet het probleem kon vaststellen aan de Chrome-extensie. Ik nam contact op met Betternet voor een reactie en zij bevestigden dat zij inderdaad de slecht gepubliceerde hack hadden geleden:

"We hebben dit probleem geïdentificeerd en opgelost op dezelfde dag waarop het zich voordeed, op 25 juni."

Blijf weg van VPN's die advertenties dienen

Dit onderstreept nogmaals de problemen van het gebruik van gratis VPN's met een onveilig privacybeleid. VPN-services worden geacht de privacy van hun gebruikers te beschermen. Dit doen ze door hun locatie te verbergen en door hun webverkeer te coderen.

Gratis VPN's zoals Betternet, HotSpot Shield, TouchVPN en vele anderen specificeren in hun privacybeleid dat ze gegevens van hun gebruikers verzamelen om advertenties beter op hen te kunnen richten. Dit is zeer onzeker en is het tegenovergestelde van wat een VPN zou moeten doen. Het hele punt van een VPN is dat consumenten digitale privacy krijgen, dus het gebruik van een service die consumenten uitdrukkelijk in het beleid informeert dat ze gegevens verzamelen en delen, is niet intuïtief voor hun doel.

adware

Helaas is de VPN-industrie verzadigd van VPN's die slechte werkwijzen hanteren en meer om geld geven dan de privacy van hun abonnees. Het is om deze reden dat we bij ProPrivacy.com VPN's zorgvuldig beoordelen. Dit is ook de reden waarom consumenten heel voorzichtig moeten zijn bij het selecteren van een VPN-provider.

Dat gezegd hebbende, VPN's zoals Betternet hebben een doel. Voor mensen die wanhopig behoefte hebben aan het omzeilen van censuur en die zich geen betere service kunnen veroorloven, kunnen dit soort gratis VPN's bijvoorbeeld een uitkomst zijn. Consumenten moeten zich echter scherp bewust zijn van wat een VPN voor hen doet en niet doet. Niet elke VPN is gelijk gemaakt en mensen die solide privacy willen, moeten goed nadenken voordat ze genoegen nemen met een inferieure service.

Ten slotte is het vermeldenswaard dat VPN's die als browserextensie worden uitgevoerd niet als veilig worden beschouwd als VPN's die op aangepaste VPN-software worden uitgevoerd. Als uw VPN een aangepaste client heeft, raden we u aan die te gebruiken om verbinding te maken met de VPN. Dit beschermt u tegen incidenten zoals die in dit artikel. In feite zijn browserextensies in het algemeen een beveiligingsnachtmerrie, dus u moet er altijd zo min mogelijk gebruiken - en zorg ervoor dat u alleen gerenommeerde gebruikt!

De meningen zijn van de schrijver.

Titel afbeelding tegoed: Evan Lorne / Shutterstock.com

Afbeelding credits: vectorfusionart / Shutterstock.com, Amirul Syaidi / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me