bloqueando una serie de complementos maliciosos del navegador Chrome, que afectaron a varios millones de usuarios. En la primera etapa, la investigadora independiente Jamila Kaya () y Duo Security han identificado 71 complementos maliciosos en Chrome Web Store. En total, estas ampliaciones sumaron más de 1.7 millones de instalaciones. Después de informar a Google sobre el problema, se encontraron en el catálogo más de 430 complementos similares, cuyo número de instalaciones no se informó.
En particular, a pesar de la impresionante cantidad de instalaciones, ninguno de los complementos problemáticos tiene reseñas de usuarios, lo que genera dudas sobre cómo se instalaron los complementos y cómo la actividad maliciosa pasó desapercibida. Todos los complementos problemáticos ahora se han eliminado de Chrome Web Store.
Según los investigadores, la actividad maliciosa relacionada con complementos bloqueados ha estado ocurriendo desde enero de 2019, pero en 2017 se registraron dominios individuales utilizados para realizar acciones maliciosas.
En su mayor parte, los complementos maliciosos se presentaron como herramientas para promocionar productos y participar en servicios publicitarios (el usuario ve anuncios y recibe regalías). Los complementos utilizaban una técnica de redirección a sitios anunciados al abrir páginas, que se mostraban en cadena antes de mostrar el sitio solicitado.
Todos los complementos utilizaron la misma técnica para ocultar la actividad maliciosa y evitar los mecanismos de verificación de complementos en Chrome Web Store. El código de todos los complementos era casi idéntico en el nivel fuente, con la excepción de los nombres de las funciones, que eran únicos en cada complemento. La lógica maliciosa se transmitió desde servidores de control centralizados. Inicialmente, el complemento se conectó a un dominio que tenía el mismo nombre que el nombre del complemento (por ejemplo, Mapstrek.com), después de lo cual fue redirigido a uno de los servidores de control, que proporcionó un script para acciones posteriores. .
Algunas de las acciones llevadas a cabo a través de complementos incluyen cargar datos confidenciales del usuario a un servidor externo, reenviar a sitios maliciosos y permitir la instalación de aplicaciones maliciosas (por ejemplo, se muestra un mensaje que indica que la computadora está infectada y se ofrece malware en la apariencia de un antivirus o una actualización del navegador). Entre los dominios a los que se realizaron redireccionamientos se encuentran varios dominios de phishing y sitios para explotar navegadores no actualizados que contienen vulnerabilidades no parcheadas (por ejemplo, después de la explotación, se intentó instalar malware que interceptaba las claves de acceso y analizaba la transferencia de datos confidenciales a través del portapapeles).
Fuente: opennet.ru