Rozszerzenie Web Developer for Chrome w wersji 0.4.9 zawierało złośliwy kod, który pobierał i uruchamiał zewnętrzne skrypty realizujące oszustwa reklamowe, kradzież danych uwierzytelniających oraz przekierowanie ruchu użytkowników. Podatność jest krytyczna ze względu na masową bazę użytkowników rozszerzenia i szeroki zakres szkodliwych działań wykonywanych bez wiedzy ofiary.
▸ Pokaż oryginał (EN)
Web Developer for Chrome v0.4.9 contained malicious code that generated a domain via a DGA and fetched a remote script. The fetched script conditionally loaded follow-on modules that performed extensive ad substitution and malvertising, displayed fake “repair” alerts that redirected users to affiliate programs, and attempted to harvest credentials when users logged in. Injected components enumerate common banner sizes for substitution, replace third-party ad calls, and redirect victim traffic to affiliate landing pages. Potential impacts include user-level code execution in the browser context, large-scale ad fraud and traffic hijacking, credential theft, and exposure to additional payloads delivered by the actor. The compromise was reported on by the maintainer of Web Developer for Chrome on August 2, 2017 and remediated in v0.5.0.
Złośliwy kod osadzony w rozszerzeniu generował domenę przy użyciu algorytmu DGA (Domain Generation Algorithm), a następnie pobierał z niej zdalny skrypt. Pobrany skrypt warunkowo ładował dodatkowe moduły odpowiedzialne za podmianę reklam (ad substitution), wyświetlanie fałszywych alertów o konieczności naprawy systemu przekierowujących użytkowników do programów afiliacyjnych oraz przechwytywanie danych logowania w momencie, gdy użytkownik logował się na stronach internetowych. Wstrzyknięte komponenty identyfikowały standardowe rozmiary banerów reklamowych, podmieniały wywołania reklam podmiotów trzecich i przekierowywały ruch ofiar na strony afiliacyjne kontrolowane przez atakującego.
Atakujący mógł wykonywać kod w kontekście przeglądarki ofiary na poziomie użytkownika, prowadzić masowe oszustwa reklamowe i przejmować ruch sieciowy (traffic hijacking), a także wykradać dane uwierzytelniające użytkowników oraz dostarczać dodatkowe złośliwe payload'y.
Należy zaktualizować rozszerzenie Web Developer for Chrome do wersji 0.5.0 lub nowszej, w której podatność została usunięta. Użytkownicy, którzy korzystali z wersji 0.4.9, powinni rozważyć zmianę haseł do kont, na których logowali się w czasie używania podatnej wersji rozszerzenia.
Rozszerzenie Web Developer for Chrome w wersji 0.4.9
Kompromitacja rozszerzenia została ujawniona przez jego autora (maintainer) w dniu 2 sierpnia 2017 roku i naprawiona w wersji 0.5.0. Podatność sklasyfikowana jako CWE-506 (Embedded Malicious Code) — złośliwy kod został celowo wprowadzony do paczki rozszerzenia, co wskazuje na atak na łańcuch dostaw oprogramowania (supply chain attack).
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X