Jak rozpoznać złośliwe rozszerzenia przeglądarki i oczyścić system

Przez
Konrad Suwalski
-
0
29
5/5 - (1 vote)

Po co w ogóle analizować rozszerzenia przeglądarki

Rozszerzenia przeglądarki stały się jednym z głównych wektorów ataków na zwykłych użytkowników. Jeśli przeglądarka jest głównym narzędziem do bankowości, pracy, zakupów i komunikacji, to przejęcie jej przez jedno złośliwe rozszerzenie wystarczy, aby przestępcy mieli stały dostęp do wrażliwych danych. Świadome podejście do dodatków decyduje więc o tym, czy przeglądanie sieci jest względnie bezpieczne, czy przypomina chodzenie po polu minowym.

Intencja jest prosta: zrozumieć, jak działają złośliwe rozszerzenia przeglądarki, nauczyć się je samodzielnie rozpoznawać i krok po kroku oczyścić system oraz zmniejszyć szansę ponownej infekcji.

Frazy powiązane: złośliwe rozszerzenia przeglądarki, adware w przeglądarce, phishing przez dodatki, czyszczenie Chrome z wirusów, usuwanie podejrzanych wtyczek, bezpieczeństwo rozszerzeń Firefox, analiza uprawnień dodatków, przywracanie ustawień przeglądarki, ochrona przed malware w przeglądarce, monitorowanie aktywności przeglądarki.

Czym są rozszerzenia przeglądarki i gdzie przebiega granica między „normalnym” a złośliwym dodatkiem

Rozszerzenia przeglądarki – krótka, praktyczna definicja

Rozszerzenia (dodatki, wtyczki) to małe programy instalowane w przeglądarce, które dodają jej nowe funkcje. Mogą blokować reklamy, zapamiętywać hasła, integrować pocztę z kalendarzem, robić zrzuty ekranu, tłumaczyć strony czy ułatwiać pracę z konkretnym narzędziem biznesowym. Instalacja zwykle odbywa się jednym kliknięciem z oficjalnego sklepu typu Chrome Web Store czy Firefox Add-ons.

Legalne, przydatne dodatki działają w przewidywalny sposób: wykonują jasno opisaną funkcję i nie ingerują w inne obszary niż te, które są potrzebne do działania. Przykład: blokery reklam modyfikują zawartość stron, ale po to, aby usunąć elementy reklamowe; menedżery haseł wchodzą w interakcję z polami logowania, żeby wstawić zapisane dane.

Problem pojawia się, gdy ten sam mechanizm – dostęp do zawartości stron i interfejsu przeglądarki – zostaje wykorzystany wbrew interesowi użytkownika. Granica między przydatnym a szkodliwym dodatkiem jest cienka i opiera się głównie na intencji twórcy i sposobie wykorzystania uprawnień.

Jak działają rozszerzenia od strony uprawnień

Rozszerzenia przeglądarki mają dostęp do elementów, których nie widzi zwykły użytkownik. W zależności od nadanych uprawnień, mogą między innymi:

  • czytać i modyfikować zawartość odwiedzanych stron,
  • śledzić historię przeglądania, otwierać i zamykać karty,
  • przeglądać, modyfikować i wysyłać dane z formularzy (w tym logowania),
  • działać w tle, nawet gdy nie ma żadnej otwartej strony powiązanej z dodatkiem,
  • komunikować się z zewnętrznymi serwerami.

To, co na liście wygląda niegroźnie, w praktyce daje potężne możliwości. Dodatek z uprawnieniem „czytanie i zmiana wszystkich danych na odwiedzanych stronach” może legalnie (z punktu widzenia przeglądarki) podejrzeć dane logowania, zmienić numer konta bankowego w formularzu przelewu czy wstrzyknąć dodatkowy kod na stronę.

Większość przeglądarek wymaga potwierdzenia przyznawanych uprawnień przy instalacji, ale wielu użytkowników potwierdza je automatycznie, nie analizując, czy są logicznie powiązane z funkcją rozszerzenia.

Szara strefa dodatków: gdy „darmowy” oznacza zapłatę danymi

Nie każde nieuczciwe rozszerzenie to od razu klasyczny wirus. Jest cała grupa dodatków, które formalnie nie włamują się do systemu, ale agresywnie spieniężają ruch i dane użytkowników. To na przykład:

  • dodatki z kuponami rabatowymi, które wstrzykują własne linki partnerskie i reklamy na większości stron zakupowych,
  • „darmowe” integracje z social media, które śledzą każdy klik, aby budować profil reklamowy,
  • dodatki zmieniające wyszukiwarkę na tę, która intensywnie profiluje i sprzedaje dane.

Formalnie są to rozszerzenia reklamowe lub analityczne, ale sposób, w jaki się instalują (często przy okazji innego programu) i jak ukrycie zmieniają przeglądarkę, stawia je bardzo blisko złośliwego oprogramowania. Użytkownik najczęściej nie dostaje jasnej informacji, jak dokładnie jego dane będą wykorzystywane ani jak odinstalować taki dodatek.

Co odróżnia typowe rozszerzenie od złośliwego

O rozróżnieniu nie decyduje pojedyncza cecha, lecz zestaw sygnałów. Jeśli dodatek:

  • instaluje się bez świadomej zgody (dodany przez inny program, stronę, „magiczne okienko”),
  • ukrywa się w przeglądarce, utrudniając odinstalowanie,
  • wykonuje działania niepodane w opisie (np. zmienia wyszukiwarkę, mimo że jest „konwerterem PDF”),
  • próbuje pozostać po resetowaniu ustawień lub wraca po usunięciu,
  • wymaga absurdalnie szerokich uprawnień do prostej funkcji,

to nie jest zwykły dodatek. Intencją jego twórcy jest wówczas coś więcej niż dostarczenie jednej funkcji – zbieranie danych, generowanie przychodów z reklam czy wręcz przejęcie sesji użytkownika. Sposób dystrybucji i ukryte funkcje są tu ważniejsze niż sama nazwa czy ikona.

Haker w ciemnym pomieszczeniu wpisujący kod na ekranie laptopa
Źródło: Pexels | Autor: Sora Shimazaki

Typowe zagrożenia związane z zainfekowanymi lub złośliwymi rozszerzeniami

Kradzież danych logowania i przechwytywanie sesji

Złośliwe rozszerzenia przeglądarki wyjątkowo dobrze nadają się do ataków na loginy i hasła. Działają na poziomie, na którym widzą wszystko, co wpisujesz na stronach internetowych. Jeśli mają prawo czytać i modyfikować zawartość stron, mogą:

  • zapisaywać dane logowania przy każdym logowaniu do banku, poczty, systemu firmowego,
  • podmieniać pola formularza – np. pokazać prawidłowy numer konta, ale wysłać inny do banku,
  • wstrzykiwać dodatkowe, niewidoczne pola, które zbierają dodatkowe dane (np. PESEL, numer karty),
  • przechwytywać sesje po zalogowaniu, umożliwiając logowanie bez hasła (na skradzionym ciasteczku).

Taki atak jest trudniejszy do wykrycia niż klasyczny phishing, bo adres w pasku jest prawidłowy, strona wygląda normalnie, a certyfikat HTTPS jest ważny. Wszystko dzieje się już w przeglądarce użytkownika, po załadowaniu strony, na poziomie kodu wstrzykniętego przez rozszerzenie.

Manipulacja reklamami, wynikami wyszukiwania i przekierowania

Drugi popularny scenariusz to adware w przeglądarce. Rozszerzenie podmienia reklamy na stronach internetowych na własne, wstrzykuje dodatkowe banery, wyskakujące okienka lub linki w tekście. Często dzieje się to nawet na stronach, które zwykle reklam nie mają lub korzystają z zupełnie innej sieci reklamowej.

Charakterystyczne objawy:

  • nietypowe reklamy w języku innym niż język strony,
  • podkreślone słowa w tekście zamienione w linki sponsorowane,
  • pop-upy z komunikatami „Twój system jest zainfekowany, pobierz skaner”,
  • przekierowania z wyników wyszukiwania na inne strony niż te, na które wskazuje opis.

Przykładowa sytuacja z praktyki: użytkownik instaluje „darmowy dodatek do kuponów rabatowych” sugerowany przez wyskakujące okienko na stronie z serialami. Po kilku dniach zauważa, że po wpisaniu zapytania w wyszukiwarce kliknięcie w pierwszy wynik prowadzi do dziwnej strony z reklamą, a dopiero po chwili następuje przekierowanie na właściwą stronę. Winny okazuje się dodatek, który nadpisuje wyniki wyszukiwania i wrzuca swój kod śledzący.

Śledzenie aktywności i sprzedaż danych

Złośliwe lub agresywnie „monetyzujące” dodatki często budują szczegółowy profil użytkownika. Zbierają informacje o:

  • odwiedzanych stronach i czasie spędzonym na nich,
  • zapytaniach w wyszukiwarkach,
  • kliknięciach w konkretne reklamy i linki,
  • zainteresowaniach domyślanych na podstawie historii.

Część dodatków przekazuje te dane podmiotom trzecim, które łączą je z innymi bazami (np. danymi z social media, danych lokalizacyjnych z urządzeń mobilnych). Formalnie odbywa się to często „za zgodą” użytkownika, schowaną w wielostronicowym regulaminie. Problemem jest skala: rozszerzenie z dostępem do całej historii przeglądania wie o użytkowniku więcej niż pojedynczy serwis.

Takie śledzenie może być „tylko” naruszeniem prywatności, ale też punktem wyjścia do precyzyjnego phishingu (np. wiadomości podszywające się pod usługi, z których faktycznie korzystasz).

Wykorzystywanie przeglądarki do cryptominingu, botnetów i spamu

Przeglądarka z zainstalowanym złośliwym rozszerzeniem może zostać częścią botnetu. Dodatek działający w tle jest w stanie:

  • wykorzystywać procesor do kopania kryptowalut,
  • otwierać w ukryciu karty lub wykonywać zapytania HTTP,
  • wysyłać złośliwe linki przez webowe skrzynki pocztowe,
  • brać udział w atakach DDoS, klikaniu w reklamy czy generowaniu fałszywego ruchu.

Objawami bywa wyraźne spowolnienie komputera przy otwartej przeglądarce, wzrost temperatury laptopa, szybkie zużywanie baterii czy wentylatory pracujące na pełnych obrotach przy pozornie lekkich zadaniach (czytanie artykułów, praca w webmailu).

Dopóki użytkownik nie połączy tego zachowania z konkretnym dodatkiem, problem może się ciągnąć tygodniami, a komputer będzie „pracował” dla kogoś innego za plecami właściciela.

Jak złośliwe rozszerzenia trafiają do przeglądarki

Oficjalne sklepy i ich ograniczenia

Wiele osób zakłada, że rozszerzenia z oficjalnych sklepów (Chrome Web Store, Firefox Add-ons, Edge Add-ons) są z definicji bezpieczne. W praktyce te platformy mają mechanizmy weryfikacji, ale są one automatyczne i ograniczone. Kod dodatku jest analizowany skryptami, częściowo ręcznie, ale wciąż zdarzają się przypadki przepuszczenia złośliwego rozszerzenia lub „transformacji” legalnego dodatku w złośliwy poprzez aktualizację.

Ryzykowne scenariusze:

  • nowe rozszerzenie szybko rośnie w popularność z powodu masowej kampanii spamowej,
  • dodatki podszywające się pod znane rozszerzenia (prawie identyczna nazwa i ikona),
  • legalne rozszerzenie sprzedane innemu właścicielowi, który w kolejnej wersji dokłada złośliwy kod.

Oficjalny sklep nie jest gwarancją bezpieczeństwa. Zmniejsza ryzyko, ale nie eliminuje go, szczególnie jeśli użytkownik bezrefleksyjnie instaluje dodatki „bo są w sklepie”.

Instalatory typu bundle i rozszerzenia „przy okazji”

Częsty sposób infekcji to dołączanie rozszerzenia do instalatora innego programu. Użytkownik pobiera popularny darmowy program z mało znanej strony z „dodatkowym menedżerem pobierania”. W kreatorze instalacji pojawiają się niewielkie, domyślnie zaznaczone pola w stylu:

  • „Zainstaluj rozszerzenie XYZ, aby poprawić jakość wyszukiwania”,
  • „Zgadzam się na zmianę strony startowej i dodanie dodatku przeglądarki”,
  • „Aktywuj darmowy pasek narzędziowy z pogodą i kursem walut”.

Jeśli użytkownik klika „Dalej” bez czytania, do przeglądarki trafia adware lub inne podejrzane oprogramowanie. Rozszerzenie jest wtedy trudniejsze do powiązania z konkretną akcją, bo użytkownik nie pamięta, żeby cokolwiek instalował z poziomu przeglądarki.

Fałszywe strony aktualizacji i „konieczność instalacji dodatku”

Bardzo groźny kanał infekcji to fałszywe komunikaty typu:

  • „Twój Flash Player jest nieaktualny – zainstaluj rozszerzenie, aby odtworzyć wideo”,
  • „Aby zobaczyć ten film, musisz zainstalować wtyczkę”,
  • „Twoja przeglądarka wymaga pilnej aktualizacji – kliknij, aby pobrać dodatek bezpieczeństwa”.

Po kliknięciu użytkownik trafia na stronę, która naśladuje wygląd komunikatu systemowego lub sklepu z rozszerzeniami. W rzeczywistości jest to strona phishingowa, która proponuje instalację pliku .crx (Chrome) lub .xpi (Firefox) z zewnętrznego źródła albo prowadzi do sklepu z odpowiednio opisanym „dodatkiem”.

Różnica między bezpieczną a niebezpieczną sytuacją sprowadza się często do inicjatywy: jeśli użytkownik sam wyszukuje dodatek w sklepie po konkretnym problemie, ma większą kontrolę. Gdy instalacja jest wymuszana przez agresywny pop-up, czujność powinna być maksymalna.

Przejmowanie legalnych rozszerzeń przez nowych właścicieli

Dość podstępny scenariusz to zakup lub przejęcie popularnego dodatku przez firmę zainteresowaną monetyzacją jego użytkowników. Taki dodatek ma już tysiące lub setki tysięcy instalacji i dobrą reputację. Po zmianie właściciela pojawia się aktualizacja, która dodaje:

Najważniejsze punkty

  • Rozszerzenia przeglądarki są jednym z głównych wektorów ataku, bo działają dokładnie tam, gdzie użytkownik robi przelewy, loguje się do poczty i systemów firmowych, więc przejęcie jednego dodatku często wystarcza, by mieć dostęp do wrażliwych danych.
  • Granica między „normalnym” a złośliwym rozszerzeniem zależy głównie od intencji twórcy i sposobu wykorzystania uprawnień: ten sam mechanizm techniczny może albo blokować reklamy, albo podmieniać treść formularza przelewu.
  • Uprawnienia dodatków (czytanie i modyfikowanie stron, dostęp do historii, formularzy, działania w tle, komunikacja z serwerami) dają im realną kontrolę nad tym, co widzisz i wpisujesz w przeglądarce – jeśli użytkownik bezrefleksyjnie je akceptuje, otwiera drogę do nadużyć.
  • Istnieje „szara strefa” dodatków, które formalnie nie są wirusami, ale agresywnie zarabiają na danych użytkownika: wstrzykują własne reklamy, zmieniają wyszukiwarkę, śledzą każdy klik i często instalują się „przy okazji” innego programu.
  • O złośliwym charakterze rozszerzenia świadczy kombinacja sygnałów: instalacja bez świadomej zgody, utrudnione usuwanie, zmiana wyszukiwarki lub strony startowej bez jasnej informacji, powracanie po resetowaniu przeglądarki oraz żądanie nieproporcjonalnie szerokich uprawnień.
  • Zainfekowane lub złośliwe rozszerzenia szczególnie dobrze nadają się do kradzieży danych logowania i przechwytywania sesji, bo widzą wszystko, co wpisujesz – mogą zapisywać loginy i hasła, podmieniać numery kont w przelewach czy wstrzykiwać ukryte pola formularzy.

Polecane dla Ciebie: