estää useita haitallisia lisäosia Chrome-selaimeen, mikä vaikutti useisiin miljooniin käyttäjiin. Ensimmäisessä vaiheessa riippumaton tutkija Jamila Kaya () ja Duo Security ovat tunnistaneet 71 haitallista lisäosaa Chrome Web Storesta. Näitä lisäosia asennettiin yhteensä yli 1.7 miljoonaa. Kun Googlelle oli ilmoitettu ongelmasta, luettelosta löytyi yli 430 samanlaista lisäosaa, joiden asennusmäärää ei raportoitu.
Huolimatta vaikuttavasta asennusten määrästä, yhdelläkään ongelmallisista lisäosista ei ole käyttäjien arvioita, mikä herättää kysymyksiä siitä, kuinka lisäosat asennettiin ja kuinka haitallinen toiminta jäi havaitsematta. Kaikki ongelmalliset lisäosat on nyt poistettu Chrome Web Storesta.
Tutkijoiden mukaan estettyihin lisäosiin liittyvää haitallista toimintaa on ollut käynnissä tammikuusta 2019 lähtien, mutta yksittäiset haitallisten toimien suorittamiseen käytetyt verkkotunnukset rekisteröitiin jo vuonna 2017.
Suurin osa haitallisista lisäosista esiteltiin työkaluina tuotteiden mainostamiseen ja mainospalveluihin osallistumiseen (käyttäjä katselee mainoksia ja saa rojalteja). Lisäosat käyttivät tekniikkaa, joka ohjasi mainostetuille sivustoille avattaessa sivuja, jotka näytettiin ketjussa ennen pyydetyn sivuston näyttämistä.
Kaikki lisäosat käyttivät samaa tekniikkaa haitallisen toiminnan piilottamiseen ja lisäosien vahvistusmekanismien ohittamiseen Chrome Web Storessa. Kaikkien lisäosien koodi oli lähes identtinen lähdetasolla, lukuun ottamatta toimintojen nimiä, jotka olivat yksilöllisiä jokaisessa lisäosassa. Haitallinen logiikka välitettiin keskitetyistä ohjauspalvelimista. Alun perin lisäosa yhdistettiin verkkotunnukseen, jolla oli sama nimi kuin lisäosan nimi (esimerkiksi Mapstrek.com), minkä jälkeen se ohjattiin jollekin ohjauspalvelimista, joka tarjosi komentosarjan jatkotoimia varten. .
Joitakin lisäosien kautta suoritettuja toimintoja ovat luottamuksellisten käyttäjätietojen lataaminen ulkoiselle palvelimelle, edelleen lähettäminen haitallisille sivustoille ja haitallisten sovellusten asentaminen (esimerkiksi näyttöön tulee viesti, että tietokone on saastunut ja haittaohjelmia tarjotaan virustorjunnan tai selainpäivityksen varjolla). Verkkotunnukset, joille uudelleenohjattiin, sisältävät erilaisia phishing-verkkotunnuksia ja sivustoja, joissa hyödynnetään päivittämättömiä selaimia, jotka sisältävät korjaamattomia haavoittuvuuksia (esim. hyväksikäytön jälkeen yritettiin asentaa haittaohjelmia, jotka sieppasivat käyttöavaimia ja analysoivat luottamuksellisten tietojen siirtoa leikepöydän kautta).
Lähde: opennet.ru