Estensione Chrome, con backdoor, installata da 200.000 giocatori Roblox
Pubblicato da Angelo Domeneghini in Adware - Malware - Phishing - Ransomware - Spoofing - Trojan · 24 Novembre 2022
Tags: #Roblox, #backdoor
Tags: #Roblox, #backdoor
Estensione Chrome, con backdoor, installata da 200.000 giocatori Roblox
È stato scoperto che l'estensione del browser Chrome "SearchBlox" installata da oltre 200.000 utenti contiene una backdoor che può rubare le tue credenziali Roblox e le tue risorse su Rolimons, una piattaforma di trading Roblox.
BleepingComputer è stato in grado di analizzare il codice di estensione che indica la presenza di una backdoor, introdotta intenzionalmente dal suo sviluppatore o dopo un compromesso.
BleepingCompuer ha osservato che le estensioni "SearchBlox" trovate sul Chrome Web Store sembrano essere compromesse.
Ci sono due risultati di ricerca per "SearchBlox" su Chrome. Queste estensioni affermano di consentirti di "cercare nei server Roblox il giocatore desiderato... incredibilmente veloce", ma entrambe contenevano la backdoor.
"Il popolare plug-in SearchBlox è stato COMPROMESSO/BACKDOORED - se ce l'hai, il tuo account potrebbe essere a rischio", ha twittato RTC, un account di notizie e community Roblox non ufficiale.
"Per favore, cambia le tue password se ce l'hai e le credenziali, in modo che il tuo account sia di nuovo sicuro."
Abbiamo scaricato l'estensione Chrome per l'analisi e per la prima estensione (blddohgncmehcepnokognejaaahehncd) scaricata da oltre 200.000 utenti, esiste la backdoor sulla riga 3 del file 'content.js':
Per la seconda estensione (ccjalhebkdogpobnbdhfpincfeohonni) con soli 959 download, la backdoor risiedeva all'interno del file 'button.js'.
L'URL offensivo in entrambi i casi è:
hxxps://searchblox[.]site/image.png/image.txt
Come se la struttura dell'URL "image.png/image.txt" in sé non fosse già interessante, la pagina contiene codice HTML che finge di visualizzare un'immagine utilizzando il tag "<img>", ma carica invece JavaScript offuscato che è ulteriormente codificato come entità carattere HTML (usando i simboli '&' e '#'):
codice JS HTML sospetto
La pagina finge di contenere HTML tentativo di visualizzare un'immagine (BleepingComputer)
Il codice, una volta decodificato, fornisce un codice offuscato che sembra inoltre esfiltrare le credenziali Roblox in un altro dominio: releasethen.site.
Un altro dominio incriminato che raccoglie credenziali roblox
Un altro dominio sospetto in uso dall'estensione (BleepingComputer)
Da notare il fatto che sia "searchblox.site" che "releasethen.site" sono stati registrati questo mese e condividono un host web comune, Hostinger.
Il codice sembra anche sondare il profilo di un giocatore su Rolimons.com, una piattaforma di trading Roblox. Questo dettaglio diventa rilevante date le odierne sospensioni dell'account sulla piattaforma, come spiegato nella sezione seguente.
'SearchBlox' un recidivo
Sfortunatamente, non sembra nemmeno la prima volta che un'estensione "SearchBlox" dannosa ha preso di mira utenti Roblox.
A ottobre, secondo quanto riferito, Google ha eliminato un altro "SearchBlox" dal Chrome Web Store almeno dal 28 giugno 2022.
Il fatto che la backdoor sia stata iniettata nell'estensione dopo compromesso da un attore di minacce o introdotta intenzionalmente dallo sviluppatore è qualcosa che deve ancora essere determinato in modo autorevole.
Ci sono alcune speculazioni tra i membri della community Roblox [1, 2, 3, 4] che hanno notato che l'inventario dell'utente "Unstoppablelucent", presumibilmente lo sviluppatore dell'estensione, si moltiplica durante la notte, mentre l'utente Rolimons "ccfont" è stato interrotto oggi a causa di scambi di inventario sospetti.
Dopo circa un anno o giù di lì con il plug-in attivo, ha deciso che sarebbe giunto il momento di inserire codice dannoso nel plug-in dopo che oltre 200.000 utenti lo hanno scaricato e hanno cercato di hackerare quanti più account possibile.
— Utiba (@UtibaOfficial) 23 novembre 2022
Sia l'estensione che gli URL offensivi hanno una reputazione VirusTotal pulita al momento della scrittura, rendendo il rilevamento di queste estensioni dannose molto più difficile.
È sufficiente dire che chiunque abbia installato "SearchBlox" dovrebbe rimuovere immediatamente l'estensione, cancellare i propri cookie e modificare le password per Roblox, Rolimon e altri siti Web a cui potrebbero aver effettuato l'accesso mentre l'estensione era in uso.
BleepingComputer ha notificato a Google le estensioni dannose prima della pubblicazione. Un portavoce di Google ha successivamente confermato che queste estensioni sono state rimosse e verranno automaticamente rimosse dai sistemi in cui sono state installate.
"Le estensioni dannose identificate non sono più disponibili sul Chrome Web Store", ha detto Google a BleepingComputer.
"Le estensioni sono bloccate e verranno automaticamente rimosse da qualsiasi macchina utente che le ha scaricate in precedenza".