Al directori de complements de Firefox () publicació massiva de complements maliciosos disfressats de projectes coneguts. Per exemple, el directori conté complements maliciosos "Adobe Flash Player", "ublock origin Pro", "Adblock Flash Player", etc.
Com que aquests complements s'eliminen del catàleg, els atacants creen immediatament un compte nou i tornen a publicar els seus complements. Per exemple, fa unes hores es va crear un compte , sota els quals es troben els complements "Youtube Adblock", "Ublock plus", "Adblock Plus 2019". Pel que sembla, la descripció dels complements està formada per assegurar-se que apareixen a la part superior de les consultes de cerca "Adobe Flash Player" i "Adobe Flash".
Quan s'instal·len, els complements demanen permisos per accedir a totes les dades dels llocs que esteu veient. Durant el funcionament, s'engega un keylogger, que transmet informació sobre com omplir formularis i galetes instal·lades a l'amfitrió theridgeatdanbury.com. Els noms dels fitxers d'instal·lació de complements són "adpbe_flash_player-*.xpi" o "player_downloader-*.xpi". El codi d'script dins dels complements és lleugerament diferent, però les accions malicioses que realitzen són òbvies i no s'amaguen.
És probable que la manca de tècniques per ocultar l'activitat maliciosa i el codi extremadament senzill permetin evitar el sistema automatitzat per a la revisió preliminar dels complements. Al mateix temps, no està clar com la comprovació automatitzada va ignorar el fet de l'enviament explícit i no ocult de dades des del complement a un host extern.
Recordem que, segons Mozilla, la introducció de la verificació de signatura digital bloquejarà la propagació de complements maliciosos que espien els usuaris. Alguns desenvolupadors de complements amb aquesta posició, creuen que el mecanisme de verificació obligatòria mitjançant una signatura digital només crea dificultats per als desenvolupadors i comporta un augment del temps que es necessita per portar llançaments correctius als usuaris, sense afectar de cap manera la seguretat. N'hi ha molts trivials i evidents per evitar la comprovació automàtica de complements que permeten inserir codi maliciós sense adonar-se, per exemple, generant una operació sobre la marxa concatenant diverses cadenes i executant la cadena resultant cridant a eval. La posició de Mozilla La raó és que la majoria dels autors de complements maliciosos són mandrosos i no recorren a aquestes tècniques per ocultar l'activitat maliciosa.
A l'octubre de 2017, el catàleg AMO inclòs nou procés de revisió de suplements. La verificació manual es va substituir per un procés automàtic, que eliminava les llargues esperes a la cua per a la verificació i augmentava la velocitat de lliurament de noves versions als usuaris. Al mateix temps, la verificació manual no s'elimina completament, sinó que es realitza selectivament per a les addicions ja publicades. Les addicions per a la revisió manual es seleccionen en funció dels factors de risc calculats.
Font: opennet.ru