Фалшиви реклами на мениджъра на пароли Bitwarden във Facebook прокарват зловредно разширение за Google Chrome, което събира и краде чувствителни потребителски данни от браузъра.

Bitwarden е популярно приложение за управление на пароли с „безплатно“ ниво, което се отличава с криптиране от край до край, поддръжка на различни платформи, интеграция на MFA и удобен за потребителя интерфейс.

Потребителската му база нараства непрекъснато през последните няколко години, особено след пробивите в сигурността на конкурентите, които накараха мнозина да потърсят алтернативи.

Нова зловредна рекламна кампания, представяща се за Bitwarden, беше забелязана от Bitdefender Labs, чиито изследователи съобщават, че операцията е стартирала на 3 ноември 2024 г.

Няколко реклами от една и съща кампания
Източник: Bitdefender

Злонамерени реклами във Facebook

Рекламната кампания във Facebook предупреждава потребителите, че „използват остаряла версия на Bitwarden“ и трябва незабавно да актуализират програмата, за да защитят паролите си.

Връзката, включена в рекламата, е „chromewebstoredownload[.]com“, която се представя за официалния уеб магазин на Google за Chrome на адрес „chromewebstore.google.com“.

Целевата страница също така има дизайн, наподобяващ този на уеб магазина на Chrome, включително бутон „Добави в Chrome“.

Злонамерен уебсайт, имитиращ истинския уеб магазин на Google
Източник: Bitdefender

Вместо обаче разширението да се инсталира автоматично при щракване върху връзката, посетителите са подканени да изтеглят ZIP файл от папка в Google Drive.

Въпреки че това би трябвало да е ясен знак за опасност, потребителите, които не са запознати с уеб магазина на Chrome, могат да продължат с ръчната инсталация, като следват инструкциите на уеб страницата.

Инсталацията изисква активиране на „Режим за разработчици“ в Chrome и ръчно странично зареждане на разширението в програмата, така че по същество проверките за сигурност се заобикалят.

След като бъде инсталирано, разширението се регистрира като „Bitwarden Password Manager“ версия 0.0.1 и осигурява разрешения, които му позволяват да прихваща и манипулира дейностите на потребителите.

Основните му функции са следните:

• Събира бисквитките на Facebook, по-специално бисквитката „c_user“, съдържаща идентификатора на потребителя.
• Събира  IP и геолокационни данни чрез публични API
• Събира данни за потребителите на Facebook, информация за акаунти и данни за фактуриране чрез API Graph на Facebook
• Манипулира DOM на браузъра, за да показва фалшиви съобщения за зареждане с цел легитимност или измама.
• Кодира чувствителни данни и ги предава на URL адрес на Google Script под контрола на нападателите.

За да се намали този риск, на потребителите на Bitwarden се препоръчва да игнорират рекламите, подканящи към актуализации на разширенията, тъй като разширенията за Chrome се актуализират автоматично, когато доставчикът пусне нова версия.

Разширенията трябва да се инсталират само чрез официалния уеб магазин на Google или като се следват връзки от официалния уебсайт на проекта, в случая bitwarden.com.

Когато инсталирате ново разширение, винаги проверявайте исканите разрешения и се отнасяйте с голямо подозрение към прекалено агресивни искания, включващи достъп до бисквитки, мрежови заявки и данни от уебсайтове.