blokiranje niza zlonamjernih dodataka za Chrome pretraživač, što je uticalo na nekoliko miliona korisnika. U prvoj fazi, nezavisni istraživač Jamila Kaya () i Duo Security su identificirali 71 zlonamjerni dodatak u Chrome web trgovini. Ukupno, ovi dodaci su imali više od 1.7 miliona instalacija. Nakon što je Google obavijestio o problemu, u katalogu je pronađeno više od 430 sličnih dodataka, čiji broj instalacija nije prijavljen.
Naročito, uprkos impresivnom broju instalacija, nijedan od problematičnih dodataka nema recenzije korisnika, što dovodi do pitanja o tome kako su dodaci instalirani i kako je zlonamjerna aktivnost ostala neotkrivena. Svi problematični dodaci su sada uklonjeni iz Chrome web trgovine.
Prema istraživačima, zlonamjerna aktivnost vezana za blokirane dodatke traje od januara 2019. godine, ali su pojedinačni domeni korišteni za obavljanje zlonamjernih radnji registrovani još 2017. godine.
Uglavnom su zlonamjerni dodaci predstavljeni kao alati za promociju proizvoda i sudjelovanje u uslugama oglašavanja (korisnik gleda oglase i prima tantijeme). Dodaci su koristili tehniku preusmjeravanja na reklamirane stranice prilikom otvaranja stranica, koje su se prikazivale u lancu prije prikazivanja tražene stranice.
Svi dodaci koristili su istu tehniku da sakriju zlonamjernu aktivnost i zaobiđu mehanizme provjere dodataka u Chrome web trgovini. Kod za sve dodatke bio je skoro identičan na izvornom nivou, sa izuzetkom imena funkcija, koja su bila jedinstvena u svakom dodatku. Zlonamjerna logika je prenesena sa centraliziranih kontrolnih servera. U početku je dodatak bio povezan na domenu koji je imao isto ime kao naziv dodatka (na primjer Mapstrek.com), nakon čega je preusmjeren na jedan od kontrolnih servera, koji je obezbijedio skriptu za dalje radnje.
Neke od radnji koje se provode putem dodataka uključuju učitavanje povjerljivih korisničkih podataka na eksterni server, prosljeđivanje na zlonamjerne stranice i upuštanje u instalaciju zlonamjernih aplikacija (na primjer, prikazuje se poruka da je računar zaražen i da se nudi zlonamjerni softver pod pod maskom antivirusnog programa ili ažuriranja pretraživača). Domeni na koje su izvršena preusmjeravanja uključuju različite phishing domene i stranice za iskorištavanje neažuriranih pretraživača koji sadrže nezakrpljene ranjivosti (na primjer, nakon eksploatacije, pokušaji su instaliranja zlonamjernog softvera koji je presreo pristupne ključeve i analizirao prijenos povjerljivih podataka putem međuspremnika).
izvor: opennet.ru