blokering af en række ondsindede tilføjelser til Chrome-browseren, som påvirkede flere millioner brugere. I første fase, uafhængig forsker Jamila Kaya () og Duo Security har identificeret 71 ondsindede tilføjelser i Chrome Webshop. I alt udgjorde disse tilføjelser mere end 1.7 millioner installationer. Efter at have informeret Google om problemet, blev der fundet mere end 430 lignende tilføjelser i kataloget, hvor antallet af installationer ikke blev rapporteret.
På trods af det imponerende antal installationer har ingen af de problematiske tilføjelser især brugeranmeldelser, hvilket rejser spørgsmål om, hvordan tilføjelserne blev installeret, og hvordan ondsindet aktivitet blev uopdaget. Alle problematiske tilføjelser er nu blevet fjernet fra Chrome Webshop.
Ifølge forskere har ondsindet aktivitet relateret til blokerede tilføjelser været i gang siden januar 2019, men individuelle domæner, der blev brugt til at udføre ondsindede handlinger, blev registreret tilbage i 2017.
For det meste blev ondsindede tilføjelser præsenteret som værktøjer til at promovere produkter og deltage i reklametjenester (brugeren ser annoncer og modtager royalties). Tilføjelserne brugte en teknik til at omdirigere til annoncerede websteder, når de åbnede sider, som blev vist i en kæde, før de viste det anmodede websted.
Alle tilføjelser brugte den samme teknik til at skjule ondsindet aktivitet og omgå tilføjelsesbekræftelsesmekanismer i Chrome Webshop. Koden for alle tilføjelser var næsten identisk på kildeniveau, med undtagelse af funktionsnavne, som var unikke i hver tilføjelse. Den ondsindede logik blev overført fra centraliserede kontrolservere. Til at begynde med var tilføjelsen forbundet til et domæne, der havde samme navn som tilføjelsesnavnet (f.eks. Mapstrek.com), hvorefter den blev omdirigeret til en af kontrolserverne, som gav et script til yderligere handlinger .
Nogle af de handlinger, der udføres gennem tilføjelser, omfatter upload af fortrolige brugerdata til en ekstern server, videresendelse til ondsindede websteder og hengivenhed til installation af ondsindede applikationer (f.eks. vises en meddelelse om, at computeren er inficeret, og malware tilbydes under skikkelse af en antivirus- eller browseropdatering). Domænerne, hvortil der blev omdirigeret, omfatter forskellige phishing-domæner og websteder til udnyttelse af uopdaterede browsere, der indeholder uoprettede sårbarheder (for eksempel blev der efter udnyttelse forsøgt at installere malware, der opsnappede adgangsnøgler og analyserede overførslen af fortrolige data via udklipsholderen).
Kilde: opennet.ru