En el directorio de complementos de Firefox () publicación masiva de complementos maliciosos disfrazados de proyectos conocidos. Por ejemplo, el directorio contiene complementos maliciosos “Adobe Flash Player”, “ublock origin Pro”, “Adblock Flash Player”, etc.
Cuando dichos complementos se eliminan del catálogo, los atacantes crean inmediatamente una nueva cuenta y vuelven a publicar sus complementos. Por ejemplo, se creó una cuenta hace unas horas. , bajo el cual se encuentran los complementos “Youtube Adblock”, “Ublock plus”, “Adblock Plus 2019”. Aparentemente, la descripción de los complementos está diseñada para garantizar que aparezcan en la parte superior de las consultas de búsqueda "Adobe Flash Player" y "Adobe Flash".
Cuando se instalan, los complementos solicitan permisos para acceder a todos los datos de los sitios que está viendo. Durante el funcionamiento, se inicia un registrador de teclas, que transmite información sobre cómo completar formularios y cookies instaladas al host theridgeatdanbury.com. Los nombres de los archivos de instalación del complemento son “adpbe_flash_player-*.xpi” o “player_downloader-*.xpi”. El código de script dentro de los complementos es ligeramente diferente, pero las acciones maliciosas que realizan son obvias y no están ocultas.
Es probable que la falta de técnicas para ocultar actividades maliciosas y el código extremadamente simple permitan eludir el sistema automatizado para la revisión preliminar de los complementos. Al mismo tiempo, no está claro cómo la verificación automatizada ignoró el hecho del envío explícito y no oculto de datos desde el complemento a un host externo.
Recordemos que, según Mozilla, la introducción de la verificación de firmas digitales bloqueará la difusión de complementos maliciosos que espían a los usuarios. Algunos desarrolladores de complementos Con esta postura, creen que el mecanismo de verificación obligatoria mediante firma digital solo crea dificultades a los desarrolladores y conduce a un aumento en el tiempo que lleva llevar las versiones correctivas a los usuarios, sin afectar la seguridad de ninguna manera. Hay muchos triviales y obvios. para evitar la verificación automatizada de complementos que permiten insertar código malicioso sin ser detectado, por ejemplo, generando una operación sobre la marcha concatenando varias cadenas y luego ejecutando la cadena resultante llamando a eval. La posición de Mozilla La razón es que la mayoría de los autores de complementos maliciosos son vagos y no recurren a este tipo de técnicas para ocultar la actividad maliciosa.
En octubre de 2017, el catálogo de AMO incluía nuevo proceso de revisión de suplementos. La verificación manual fue reemplazada por un proceso automático, que eliminó las largas esperas en la cola de verificación y aumentó la velocidad de entrega de nuevos lanzamientos a los usuarios. Al mismo tiempo, la verificación manual no se elimina por completo, sino que se realiza de forma selectiva para las adiciones ya publicadas. Las adiciones para la revisión manual se seleccionan en función de los factores de riesgo calculados.
Fuente: opennet.ru