Populær Chrome-adblocker kan misbrukes til skjult script-injeksjon. Ny fileless bakdør utnyttes i ransomware‑relaterte kampanjer.
Populær Chrome-adblocker kan misbrukes til skjult script-injeksjon
En populær Chrome-utvidelse,“Adblock for YouTube” med over 10 millioner installasjoner, inneholder funksjonalitet som kan misbrukes til å kjøre vilkårlig JavaScript på brukernes enheter. sikkerhetseksperter har avdekket at utvidelsen kan aktiveres via server-side konfigurasjon til å injisere kode på alle nettsteder, uten behov for oppdatering eller godkjenning fra Chrome Web Store.
Dette innebærer at utvidelsen i praksis kan lese innhold fra nettsider, stjele data og utføre handlinger på vegne av brukeren i påloggede sesjoner. Selv om det per nå ikke finnes bevis for at denne kapasiteten er brukt til ondsinnet aktivitet, representerer selve muligheten en betydelig risiko. Utvidelsen har historisk hatt koblinger til andre adblock-tillegg som senere er fjernet fra Chrome Web Store etter å ha blitt klassifisert som skadevare. Samtidig viser analysen at mekanismer for fjernstyrt script injection har eksistert siden februar 2025.
Brukere bør vurdere å fjerne eller erstatte utvidelsen med mer pålitelige alternativer, og generelt begrense antall nettleserutvidelser med omfattende tillatelser.
Ny fileless bakdør utnyttes i ransomware‑relaterte kampanjer
En ny og avansert bakdør kalt Mistic brukes i pågående angrep mot organisasjoner innen blant annet forsikring, utdanning, IT og konsulenttjenester. Angrepene knyttes til en initial access broker kjent som KongTuke, som opererer med økonomisk motiv og ofte selger tilgang videre til andre aktører, inkludert ransomware‑grupper.
Mistic leveres ofte sammen med ModeloRAT via ulike ClickFix‑kampanjer, der brukere lures til å kjøre kommandoer manuelt, for eksempel under påskudd av en sikkerhetsskanning eller via ondsinnede nettleserutvidelser. Når den først er installert, kjører bakdøren hovedsakelig i minnet (fileless), og bruker blant annet DLL side‑loading via legitime Microsoft‑verktøy for å unngå deteksjon.
Bakdøren gir angripere omfattende kontroll over systemet, inkludert filoperasjoner, kjøring av kode fra C2, og dynamisk utvidelse via Beacon Object Files. Den har også en kill switch, som kan slette spor og avslutte seg selv. Siden den ikke lagrer filer på disk, er Mistic godt egnet for å gi skjult og langvarig tilgang
Vær særlig oppmerksom på sosial manipulering som får brukere til å kjøre kommandoer manuelt. Overvåk mistenkelig bruk av legitime verktøy, særlig side‑loading og uvanlig prosesskjøring i minnet. Segmentering av nettverk og streng tilgangskontroll kan begrense skade ved kompromittering.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.