Blockierung einer Reihe bösartiger Add-ons für den Chrome-Browser, von denen mehrere Millionen Benutzer betroffen waren. In der ersten Phase hat die unabhängige Forscherin Jamila Kaya () und Duo Security haben 71 schädliche Add-ons im Chrome Web Store identifiziert. Insgesamt beliefen sich diese Add-ons auf mehr als 1.7 Millionen Installationen. Nachdem Google über das Problem informiert wurde, wurden im Katalog mehr als 430 ähnliche Add-ons gefunden, deren Anzahl der Installationen nicht gemeldet wurde.
Bemerkenswert ist, dass trotz der beeindruckenden Anzahl an Installationen keines der problematischen Add-ons über Benutzerbewertungen verfügt, was Fragen darüber aufwirft, wie die Add-ons installiert wurden und wie schädliche Aktivitäten unentdeckt blieben. Alle problematischen Add-ons wurden inzwischen aus dem Chrome Web Store entfernt.
Laut Forschern gibt es seit Januar 2019 böswillige Aktivitäten im Zusammenhang mit blockierten Add-ons, einzelne Domains, die zur Durchführung böswilliger Aktionen verwendet wurden, wurden jedoch bereits 2017 registriert.
In den meisten Fällen wurden bösartige Add-ons als Tools zur Werbung für Produkte und zur Teilnahme an Werbediensten dargestellt (der Benutzer sieht sich Anzeigen an und erhält Lizenzgebühren). Die Add-ons nutzten eine Technik zur Umleitung auf beworbene Websites beim Öffnen von Seiten, die in einer Kette angezeigt wurden, bevor die angeforderte Website angezeigt wurde.
Alle Add-ons verwendeten die gleiche Technik, um bösartige Aktivitäten zu verbergen und Add-on-Überprüfungsmechanismen im Chrome Web Store zu umgehen. Der Code aller Add-ons war auf Quellebene nahezu identisch, mit Ausnahme der Funktionsnamen, die in jedem Add-on eindeutig waren. Die bösartige Logik wurde von zentralen Kontrollservern übertragen. Zunächst wurde das Add-on mit einer Domäne verbunden, die denselben Namen hatte wie der Add-on-Name (z. B. Mapstrek.com), danach wurde es an einen der Kontrollserver umgeleitet, der ein Skript für weitere Aktionen bereitstellte .
Zu den durch Add-ons ausgeführten Aktionen gehören das Hochladen vertraulicher Benutzerdaten auf einen externen Server, die Weiterleitung an schädliche Websites und die Installation schädlicher Anwendungen (z. B. wird eine Meldung angezeigt, dass der Computer infiziert ist und Schadsoftware angeboten wird). unter dem Deckmantel eines Antiviren- oder Browser-Updates). Zu den Domänen, zu denen Weiterleitungen durchgeführt wurden, gehören verschiedene Phishing-Domänen und Websites zur Ausnutzung nicht aktualisierter Browser mit ungepatchten Schwachstellen (z. B. wurde nach der Ausnutzung versucht, Malware zu installieren, die Zugriffsschlüssel abfing und die Übertragung vertraulicher Daten über die Zwischenablage analysierte).
Source: opennet.ru