Масштабная атака в магазине Microsoft Edge — почти 3 млн жертв

В официальном магазине Microsoft Edge нашли сеть вредоносных расширений, которые маскировались под полезные инструменты и годами работали рядом с обычными дополнениями. Эксперт «Группы Астра» Роман Мылицын считает, что безопасность программного обеспечения определяется не только наличием антивируса, но и надежностью цепочки доверия к коду.

Под видом блокировщиков рекламы, погодных виджетов, загрузчиков видео, PDF-инструментов, палитр цветов и ИИ-сервисов распространялись программы для кражи учётных данных, внедрения бэкдоров в браузер и мошенничества с рекламой и партнёрскими программами в поиске, пишет Securitylab.

Масштаб кампании оказался необычным даже для рынка браузерных дополнений. Вредоносные расширения публиковались через более чем 90 аккаунтов разработчиков, но использовали общую инфраструктуру и пересекающиеся фрагменты кода. Главным способом маскировки стала стеганография: злоумышленники прятали команды и вредоносный код внутри обычных на вид файлов, чтобы защитные системы не сразу видели опасную часть. Команда безопасности Microsoft удалила 119 расширений и порекомендовала пользователям проверить установленные расширения и удалить всё лишнее, особенно старые загрузчики видео, блокировщики рекламы, «ускорители» интернета, PDF-инструменты и небольшие сервисные дополнения без понятного разработчика.

Роман Мылицын, руководитель отдела перспективных исследований "Группы Астра" считает, что данный случай обнажает фундаментальную проблему: безопасность программного обеспечения определяется не только наличием антивируса, но и надежностью цепочки доверия к коду. Если неизвестно, кто и при каких условиях подписал программу, остальные уровни защиты теряют смысл.

«Именно поэтому "Группа Астра" участвует в рабочей группе «Единое пространство доверия», которая действует на базе Национального технологического центра цифровой криптографии во взаимодействии с ФСБ, Минцифры и ФСТЭК. Ее цель — обеспечить подпись отечественного софта российскими сертификатами и сформировать полноценное доверенное пространство. Актуальность задачи резко возросла после того, как GlobalSign в июне начал массово отзывать сертификаты у российских сайтов: следующим шагом может стать отзыв сертификатов подписи кода, что поставит под угрозу доверенность всего отечественного программного обеспечения.

Разработанный группой Отраслевой технологический удостоверяющий центр уже прошел первый этап тестирования: участники получили сертификаты, подписали продукты и провели взаимную проверку. По оценке "Группы Астра", создание собственной инфраструктуры доверия — единственный способ исключить зависимость от решений иностранных структур в вопросах верификации отечественного программного обеспечения», — прокомментировал эксперт Роман Мылицын.