Hamis YouTube terjeszti a vírusokat

Nem csitulnak azok a kártékony programok, amelyek a Chrome webböngészőn keresztül mondvacsinált YouTube oldalakkal próbálják pénzhez és bizalmas adatokhoz juttatni a csalókat.
 

Május elején már beszámoltunk egy olyan káros Chrome bővítményről, amely többféle módon okozott károkat és kellemetlenséget a fertőzött számítógépek felhasználóinak. Azóta a helyzet nem javult, és úgy fest, hogy a Google sem tudja maradéktalanul eltávolítani azokat a kiegészítőket a Chrome internetes áruházából, amik a probléma forrását jelentik.
 
A legújabb ilyen jellegű kártékony programot a Radware biztonsági kutatói Nigelthorn névvel illették, utalva arra, hogy a kártevő a Nigelify nevű Chrome kiegészítő ismertségét igyekszik kihasználni. A szakértők eddig hét változatot fedeztek fel, amelyekből négyet egy napon belül letiltott a Google. A többi azonban sok ezer számítógépre került fel szerte a világon. A megjelent statisztikák szerint a fertőzések 75 százaléka a Fülöp-szigeteken, Venezuelában és Ecuadorban okozott problémákat, míg a többi példányt további 97 országban sikerült kimutatni. Arról egyelőre nincsnek információk, hogy hazánkban milyen mértékben terjedt a Nigelthorn.
 
Többlépcsős támadás
 
A kártékony bővítmény rövidített URL-ek révén terjed. Ezek a linkek elsősorban Facebook üzenetekbe kerülnek bele. Amikor a felhasználó rákattint egy ilyen hivatkozásra, akkor a Chrome egy hamis YouTube oldalon egy bővítmény telepítését ajánlja fel. Amennyiben a felhasználó ezt jóváhagyja, akkor rögtön megfertőződik a böngészője, és elkezdődik a károkozás. Ennek részeként a csalók, szintén hamis oldalakra történő átirányításokkal megpróbálják kipuhatolni az áldozatuk Facebook felhasználónevét és jelszavát, majd a felhasználó nevében elkezdik terjeszteni a problémás webcímeket.  
Eközben pedig olyan kódok is felkerülnek a számítógépre, amelyek böngészőalapú kriptobányászatot tesznek lehetővé. Az eddigi vizsgálatok szerint ennek során a fertőzött számítógépek erőforrásainak felhasználásával a vírusterjesztők elsősorban Monero, Bytecoin és Electroneum bányászatba fogják be a PC-ket.
 
A Radware szerint a Google-nek sincs könnyű dolga, mivel az eddigi esetek azt mutatják, hogy a csalók ártalmatlan, legális kiegészítőket manipulálnak, és azokba helyezik el a kódjaikat. Ezért sok múlik a biztonságtudatos netezésen, amelynek része, hogy csak valóban megbízható kiegészítőket szabad telepíteni, és hamis, nem működő, gyanús YouTube (vagy bármilyen más) weboldalon nem szabad jóváhagyni a bővítmények telepítését.
 
Eddig az alábbi kiegészítők esetében lehetett kimutatni a fenti manipulációkat:
Nigelify
PwnerLike
Alt-j
Fix-case
Divinity 2 Original Sin: Wiki Skill Popup
Keeprivate
iHabno