bloquejant una sèrie de complements maliciosos al navegador Chrome, que van afectar diversos milions d'usuaris. En una primera etapa, la investigadora independent Jamila Kaya () i Duo Security han identificat 71 complements maliciosos a Chrome Web Store. En total, aquests complements van sumar més d'1.7 milions d'instal·lacions. Després d'informar Google sobre el problema, es van trobar més de 430 complements similars al catàleg, el nombre d'instal·lacions dels quals no es va informar.
Notablement, malgrat el nombre impressionant d'instal·lacions, cap dels complements problemàtics té ressenyes d'usuaris, cosa que planteja preguntes sobre com es van instal·lar els complements i com l'activitat maliciosa no es va detectar. Tots els complements problemàtics s'han eliminat ara de Chrome Web Store.
Segons els investigadors, l'activitat maliciosa relacionada amb els complements bloquejats s'ha produït des del gener de 2019, però els dominis individuals utilitzats per dur a terme accions malicioses es van registrar el 2017.
En la seva majoria, els complements maliciosos es van presentar com a eines per promocionar productes i participar en serveis publicitaris (l'usuari veu anuncis i rep drets d'autor). Els complements utilitzaven una tècnica de redirecció als llocs anunciats en obrir pàgines, que es mostraven en cadena abans de mostrar el lloc sol·licitat.
Tots els complements van utilitzar la mateixa tècnica per ocultar l'activitat maliciosa i evitar els mecanismes de verificació de complements a Chrome Web Store. El codi de tots els complements era gairebé idèntic a nivell d'origen, amb l'excepció dels noms de funcions, que eren únics en cada complement. La lògica maliciosa es va transmetre des de servidors de control centralitzats. Inicialment, el complement estava connectat a un domini que tenia el mateix nom que el nom del complement (per exemple, Mapstrek.com), després es va redirigir a un dels servidors de control, que proporcionava un script per a més accions. .
Algunes de les accions realitzades mitjançant complements inclouen la càrrega de dades confidencials d'usuari a un servidor extern, el reenviament a llocs maliciosos i la instal·lació d'aplicacions malicioses (per exemple, es mostra un missatge que l'ordinador està infectat i s'ofereix programari maliciós sota l'aparença d'un antivirus o actualització del navegador). Els dominis als quals es van fer redireccions inclouen diversos dominis de pesca i llocs per explotar navegadors no actualitzats que contenen vulnerabilitats sense pegats (per exemple, després de l'explotació, es va intentar instal·lar programari maliciós que interceptava les claus d'accés i analitzava la transferència de dades confidencials a través del porta-retalls).
Font: opennet.ru