Google Chrome-tillägg som stjäl kortnummer som fortfarande finns tillgängliga på Web Store

0
142

Noll

En skadlig Google Chrome-tillägg som kan känna igen och stjäla kortinformation in i web-formulär är fortfarande tillgänglig på Chrome Web Store.

Utvidgningen är ett verk av en cyber-kriminella gruppen och har varit i centrum för ett malware distribution ansträngning i det förflutna.

Webbplatsen genom vilken utsträckning var initialt distribueras nu ner, men i förlängningen är fortfarande tillgängliga på Play Store, vilket betyder att den kan användas för framtida kampanjer för att infektera nya användare.

Tills nu, tillägget har installerats av ungefär 400 användare, enligt statistik som finns på sin officiella Chrome Web Store-lista.

Chrome extension steals credit card data

Bild: ZDNet

Förlängning namn är Flash-Läsare. Enligt en rapport från ElevenPaths, Telefonica cyber-security division, förlängning var distribueras via http://fbsgang[.]info/flashplayer/, en sida som skurkar omdirigeras webbtrafik, möjligen från skadliga annonser kampanjer eller utnyttja kit.

Den sida som används för den klassiska drag av “att du inte har Flash installerat, använd denna Chrome extension i stället,” och användare omdirigeras till Flash, Reader ‘ s officiella Chrome Web Store-sidan för att installera det.

Enligt en granskning av den förlängda kod som utförs av denna reporter och en tredje part –för att bekräfta ElevenPath resultat– förlängning innehöll kod som stoppades någon form inlämning görs på en webbsida.

Regex regler skulle analysera den form som innehåll för kort antal mönster som är specifika för Visa, Mastercard, American Express och Discovery kort format.

Source code of Chrome extension that steals credit card data

Bild: ZDNet

En gång i förlängningen skulle hitta uppgifter som det ville, det skulle skicka den skördade informationen till sina command and control (C&C) server, som ligger på http://fbsgang[.]info/cc/gate.php.

Source code of Chrome extension that steals credit card data

Bild: ZDNet

Detta kommando och kontroll av servern är nu nere, men C&C-servrar är ofta tas ner mellan kampanjer. Detta betyder inte att användare som har installerat denna förlängning är säkra. Deras kort data var troligen redan insamlade månader innan.

Det finns också en risk för att koncernen skulle kunna återvända med en ny kampanj, eller att driva en förlängning uppdatera med en ny C&C-server adress.

En sak som saknas från extension source code var datainsamling funktioner för kortutgivaren namn, kort bäst-före-datum, eller CVV-koder. Avsaknaden av dessa uppgifter skulle göra det insamlade kort tal som är mindre värdefull på den mörka marknaden.

ElevenPaths forskare sade att de anmälda Google i förlängningen, som hade laddats upp på Chrome Web Store i februari förra året. ZDNet har också skickat ett mail till Web-Butiken laget tidigare i dag om förlängning fortfarande är aktiv.

En säkerhetsforskare som ZDNet nått ut föreslog att förlängning kan också ha varit en testkörning för en kommande kampanj, även om ett test körs som lyckats infektera 400 Chrome-användare, vilket, om något, visar hur lätt är det att få folk att installera skit extensions utan att skänka en tanke till säkerheten.

Mer täckning:

Realtid läge data för över 11 000 Indiska bussar vänster utsatt onlineHackers brott och stjäla data från sydkoreas Försvar MinistryFortnite säkerhetsproblem skulle ha beviljats hackare tillgång till accountsMarriott säger mindre än 383 miljoner gäster negativt av brott, inte 500 miljoner
Reklam nätverk äventyras för att leverera kreditkort stjäla codeWordPress att visa varningar på servrar som kör gamla PHP versionsFirefox varnar om den webbplats du besöker drabbats av ett dataintrång CNET
Marriott avslöjar dataintrång påverkar 500 miljoner hotellgäster TechRepublic

Relaterade Ämnen:

Säkerhet-TV

Hantering Av Data

CXO

Datacenter

0