Utilizatorii serviciului de file sharing MEGA.nz, păcăliţi cu o extensie Chrome, care sustrăgea parole şi monede virtuale

Autor: Aurelian Mihai 06.09.2018
Utilizatorii serviciului de file sharing MEGA.nz, păcăliţi cu o extensie Chrome, care sustrăgea parole şi monede virtuale

Nu că MEGA.nz ar avea cine ştie ce reputaţie de protejat, dar jaful la drumul mare dat cu ajutorul unei extensii distribuite prin magazinul oficial Chrome Web Store este o palmă dată celor de la Google, care nu au reuşit să detecteze una dintre cele mai nocive extensii pentru browser din ultimii ani.

Potrivit investigaţiilor făcute la nivelul codului sursă, pentru versiunea 3.39.4 a extensiei Mega.nz pentru Chrome, aceasta înregistra în mod automat nume de utilizator, parole şi date esenţiale despre sesiunea de navigare, care ulterior puteau fi folosite de hackeri pentru a obţine accesul la conturile respective.

Extensia se activa la vizitarea unor site-uri populare ca Amazon, Google, Microsoft, GitHub, la accesarea serviciilor MyEtherWallet şi MyMonero folosite pentru efectuarea de plăţi cu monede virtuale, cât şi la vizitarea platformei de trading IDEX.

Dacă website-ul vizitat gestiona chei private pentru cripto-monede, furnizate de utilizatori în vederea efectuării de tranzacţii, acestea erau interceptate şi trimise împreună cu restul informaţiilor înregistrate unui server localizat în Ucraina, hackerii mutând orice fonduri descoperite în propriile portofele virtuale.

Spre deosebire de conturile de utilizator obişnuite, care pot fi re-securizate prin setarea unei noi parole şi eliminarea cauzei infectării, portofelele pentru monede virtuale rămân compromise definitiv, atacatorii putând folosi cheia privată de acces şi parola pentru a sustrage orice fonduri transferate ulterior în contul respectiv, spre exemplu în urma activităţii de minare a cripto-monedelor.

Pentru a fi siguri de eliminarea oricărui pericol utilizatorii care au folosit sau folosesc extensia MEGA.nz pentru Google Chrome ar trebui să verifice dacă aceasta a fost într-adevăr dezactivată, urmând semnalării acestui incident către Google.

Potrivit informaţiilor furnizate de MEGA.nz, extensia compromisă de hackeri a fost înlăturată de Google la 5 ore după ce a fost încărcată în Chrome Web Store, fiind între timp înlocuită cu o versiune „curată”. Dezvoltatorii MEGA.nz aruncă vina către Google pentru problemele apărute, acuzând compania americană a renunţat la un mecanism de securitate esenţial, atunci când a decis înlocuirea certificatelor digitate de autenticitate emise de autorii extensiilor cu un sistem automat de validare, aplicat după ce extensiile au fost încărcate în Web Store.