Alcuni ricercatori di sicurezza hanno scoperto che l'estensione MEGA per Chrome è stata compromessa. MEGA è una estensione per Chrome per lo storage in cloud: è un'estensione legittima ma, per qualche giorno, la versione diffusa dal Web Store di Chrome non era l'originale. Era infatti stata sostituita con una versione alterata contenente codice dannoso finalizzato al furto di credenziali di login, password, username, email ecc...ma anche allo svuotamento dei conti di criptovaluta Monero.
Dopo la segnalazione dei ricercatori, i tecnici di Google sono intervenuti rimuovendo l'estensione del Chrome Web store ufficiale e disabilitato l'estensione per gli utenti esistenti.
N.B: ciò non significa che sia stata disinstallata: consigliamo la disinstallazione dell'estensione.
L'hack è stato scoperto inizialmente da SerHack, un ricercatore di sicurezza e contributor del Monero Project, che ha immediatamente avvisato via tweet del fatto che la versione 3.39.4 dell'estensione MEGA era stata manomessa. Altri ricercatori di sicurezza hanno immediatamente avviato analisi approfondite dell'estensione e pubblicato i risultati.
Analisi tecnica
Una volta installata, l'estensione monitora in cerca di specifici form di login a Amazon, Microsoft, Github e Google.
Eseguirà un monitoraggio anche di ogni tipo di form per inserimento dati il cui URL contiene le parole Register o Login o altre variabili come 'username', 'email', 'login', 'usr', 'pass', 'passwd' o 'password'.
Nel caso in cui l'estensione individui uno qualsia di di questi form di inserimento dati o una delle variabili sopra elencate, invierà le credenziali e i valori delle variabili a un host ucraino: https://www.megaopac.host/.
In cerca di Monero
Per peggiorare la situazione, l'estensione monitora anche gli URL 'https://www.myetherwallet.com/*', 'https://mymonero.com/*', 'https://idex.market/*' e, se li individua, eseguirà un Javascript che tenterà di rubare la chiave privata della criptovaluta per l'utente connesso a quei siti.
Sono infetto o no?
Stando al sito di archivio delle estensioni di Chrome, crx.dam.io, l'ultima versione archiviata è la 3.39.3, caricata sul Chrome Web Store il 2 Settembre 2018 e che non conteneva codice dannoso. Quindi l'estensione deve essere stata compromessa in un momento successivo al 2 Settembre. Chi ha scaricato l'estensione dal 2 settembre in poi dovrebbe valutarne la rimozione. L'estensione corrispettiva per Mozilla Firefox invece non è risultata compromessa.
Che cosa fare se hai MEGA installata?
SerHack ha spiegato che potrebbero esserci oltre 1.6 milioni di utenti infetti, stando a quanti hanno installato questa estensione. Insomma, questo hack ha avuto un larghissimo impatto. Per coloro che hanno installato questa estensione, consigliamo la rimozione immediata. Quindi il cambio password di ogni account utilizzato, specialmente quelli finanziari, per lo shopping e il banking online ecc...
Come rimuovere l'estesione?
Le estensioni installate nel browser aggiungono una piccola icona sul lato destro della barra degli indirizzi. Questa icona può essere usata anche per disinstallare velocemente l'estensione stessa. Per rimuovere l'estensione basta quindi un clic col tasto destro sull'icona: verranno visualizzate varie opzioni, tra le quali si sarà il "Rimuovi da Chrome". Dopo il clic apparirà una dialog box dove verrà richiesto di confermare la rimozione.
Se la rimozione va a buon fine, scomparirà dalla barra degli indirizzi l'icona relativa all'estensione.
La dichiarazione da parte di Mega
Mega ha rilasciato una dichiarazione nella quale ha confermato di aver subito un attacco al proprio account del Chrome Web Store e che sono in corso accertamenti tecnici e di sicurezza. Ecco la dichiarazione:
"Il 4 Settembre, intorno alle 14:30 UTC un attaccante sconosciuto ha caricato sul Google Chrome Webstore una versione compromessa dell'estensione per Chrome Mega, versione 3.39.4. Dopo l'installazione o l'aggiornamento automatico, richiede elevate autorizzazioni (legge e modifica tutti i dati sui siti web visitati) che l'estensione legittima Mega non richiede mai. Se queste autorizzazioni vengono concesse, l'estensione compromessa potrà estrarre le credenziali per siti come amazon.com, vivo.com, github.com, google.com (login del webstore), myetherwallet.com, mymonero.com, idex.market, richieste POST HTTé ad alti siti... e invia tutto ad un server situato in Ucraina.
Nota: le credenziali di mega.nz non vengono esfiltrate".
Nessun commento:
Posta un commento