blokante serion da malicaj aldonaĵoj al la retumilo Chrome, kiuj influis plurajn milionojn da uzantoj. En la unua etapo, sendependa esploristo Jamila Kaya () kaj Duo Security identigis 71 malicajn aldonaĵojn en la Chrome Web Store. Entute, ĉi tiuj aldonaĵoj nombris pli ol 1.7 milionojn da instalaĵoj. Post informi Guglon pri la problemo, pli ol 430 similaj aldonaĵoj estis trovitaj en la katalogo, kies nombro da instalaĵoj ne estis raportita.
Precipe, malgraŭ la impona nombro da instalaĵoj, neniu el la problemaj aldonaĵoj havas recenzojn de uzantoj, kio starigas demandojn pri kiel la aldonaĵoj estis instalitaj kaj kiel malica agado estis nerimarkita. Ĉiuj problemaj aldonaĵoj nun estis forigitaj de la Chrome Web Store.
Laŭ esploristoj, malica agado rilata al blokitaj aldonaĵoj daŭras ekde januaro 2019, sed individuaj domajnoj uzataj por fari malicajn agojn estis registritaj jam en 2017.
Plejparte, malicaj aldonaĵoj estis prezentitaj kiel iloj por reklami produktojn kaj partopreni reklamajn servojn (la uzanto rigardas reklamojn kaj ricevas tantiemojn). La aldonaĵoj uzis teknikon de alidirektado al reklamitaj retejoj dum malfermado de paĝoj, kiuj estis montritaj en ĉeno antaŭ montri la petitan retejon.
Ĉiuj aldonaĵoj uzis la saman teknikon por kaŝi malican agadon kaj preteriri aldonajn konfirmmekanismojn en la Chrome Web Store. La kodo por ĉiuj aldonaĵoj estis preskaŭ identa sur la fontnivelo, kun la escepto de funkcionomoj, kiuj estis unikaj en ĉiu aldonaĵo. La malica logiko estis transdonita de centralizitaj kontrolserviloj. Komence, la aldonaĵo estis konektita al domajno, kiu havis la saman nomon kiel la aldonaĵo (ekzemple, Mapstrek.com), post kio ĝi estis redirektita al unu el la kontrolserviloj, kiu disponigis skripton por pliaj agoj. .
Kelkaj el la agoj faritaj per aldonaĵoj inkluzivas alŝuti konfidencajn uzantajn datumojn al ekstera servilo, plusendado al malicaj retejoj kaj indulgi pri instalado de malicaj aplikoj (ekzemple, mesaĝo estas montrita, ke la komputilo estas infektita kaj malware estas ofertita sub la alivestiĝo de antivirusa aŭ retumila ĝisdatigo). La domajnoj al kiuj estis faritaj alidirektiloj inkluzivas diversajn phishing-domajnojn kaj retejojn por ekspluatado de neĝisdatigitaj retumiloj enhavantaj neflikitajn vundeblecojn (ekzemple, post ekspluatado, oni provis instali malbonvaron, kiu kaptis alirŝlosilojn kaj analizis la translokigon de konfidencaj datumoj per la tondujo).
fonto: opennet.ru