国外著名网盘MEGA Chrome浏览器扩展程序遭黑客窃取登陆凭据和加密货币

您是否正在使用MEGA Chrome浏览器扩展程序？立即卸载它，因为MEGA文件存储服务的Chrome扩展程序已被黑客入侵，并被替换为一个窃取用户主流网络服务（即亚马逊，微软，Github和谷歌）凭据以及加密货币钱包私钥（即MyEtherWallet，MyMonero和Idex.market加密货币交易平台）的程序。

MEGA是一种安全的云存储服务，具有50 GB的可用存储空间。这项服务是在MegaUpload关闭后由Kim Dotcom于2013年推出的，目前Chrome扩展已经从Chrome网络商店中移除。

“在2018年9月4日格林威治标准时间14点30分，一名身份不明的攻击者向谷歌Chrome网上商店上传了一个MEGA Chrome扩展程序的恶意版本3.39.4 。”Mega发布的安全公告说。

这个黑客攻击最初是由意大利安全研究员、Monero项目参与者SerHack发现的，他立即在Twitter上发布了警告，称3.39.4版本的MEGA Chrome扩展程序遭到黑客攻击。其他安全研究人员也迅速跟进分析这一扩展程序，并报告了他们的发现。

“在安装或自动更新时，它会要求提升MEGA真实扩展所不需要的权限（读取并更改您访问的网站上的所有数据），并且（如果授予权限）将包括amazon.com，live.com，github.com，google.com（用于 webstore 登录），myetherwallet.com，mymonero.com，idex.market等网站的exfiltrate凭据和发送HTTP POST请求到一个位于乌克兰的服务器的其他站点。请注意，mega.nz 凭证没有被泄露。“

扩展程序一经安装后，将监控向Amazon，Microsoft，Github和Google提交的特定登录表单。

它还会对提交的任何表单进行监控，这些表单包括了含有字符串寄存器、登陆信息或名为“用户名”、“电子邮件”、“用户”、“登陆”、“通行证”或“密码”等变量信息。

扩展程序检测到任何这些表单提交或数据变量信息，都会将凭据和变量值发送到位于乌克兰的主页https://www.megaopac.host/。

更糟糕的是，此扩展程序还将监控格式为“https://www.myetherwallet.com/*”，“https://mymonero.com/*”，“https://idex.market/*” 的网址。一旦检测到，它将执行ja vasc ript，试图从这些站点窃取登录用户的加密货币密钥。

Mega强调，谷歌禁止发布商签署他们的Chrome扩展程序，并选择仅在上传扩展程序后自动签名，这实际上为外部攻击清除了障碍。

在安全漏洞发生四小时后，Mega在商店更新了一个干净版本（3.39.5），受影响的安装已自动更新。谷歌在被黑后五小时从Chrome网上商店删除了恶意扩展程序。

“只有在事件发生时安装了MEGA Chrome扩展程序，启用了自动更新，并且您接受了其他权限，或者如果您刚刚安装了3.39.4版本，您才会受到影响。”

Firefox版本的MEGA尚未受到损害，用户在没有Chrome扩展程序的情况下访问https://mega.nz并未受到影响。

当前尚不清楚有多少用户安装了恶意MEGA Chrome浏览器扩展程序，专家推测数以百万计的用户可能已经受到影响。

“请注意，如果您访问过任何网站或使用另一个通过POST请求发送纯文本凭据，可以通过直接表单提交或通过后台xm lHttpRequest进程（MEGA不是其中之一）的扩展程序，而且恶意扩展程序处于活动状态，请考虑您在这些网站和/或应用程序上的凭据遭到窃取。“

白帽汇安全研究院提醒广大用户，安装了恶意MEGA Chrome浏览器扩展程序的用户必须卸载版本3.39.4并更改其所有帐户的密码。

原文链接：https://securityaffairs.co/wordpress/75934/hacking/mega-chrome-browser-extension-hacked.html