Dans le répertoire des modules complémentaires de Firefox () publication massive de modules complémentaires malveillants déguisés en projets bien connus. Par exemple, le répertoire contient des modules complémentaires malveillants « Adobe Flash Player », « ublock origin Pro », « Adblock Flash Player », etc.
Lorsque ces modules complémentaires sont supprimés du catalogue, les attaquants créent immédiatement un nouveau compte et republient leurs modules complémentaires. Par exemple, un compte a été créé il y a quelques heures , sous lequel se trouvent les modules complémentaires « Youtube Adblock », « Ublock plus », « Adblock Plus 2019 ». Apparemment, la description des modules complémentaires est conçue pour garantir qu'ils apparaissent en haut des requêtes de recherche « Adobe Flash Player » et « Adobe Flash ».
Une fois installés, les modules complémentaires demandent l'autorisation d'accéder à toutes les données des sites que vous consultez. Pendant le fonctionnement, un enregistreur de frappe est lancé, qui transmet des informations sur le remplissage des formulaires et les cookies installés à l'hébergeur theridgeatdanbury.com. Les noms des fichiers d'installation du module complémentaire sont « adpbe_flash_player-*.xpi » ou « player_downloader-*.xpi ». Le code de script à l'intérieur des modules complémentaires est légèrement différent, mais les actions malveillantes qu'ils effectuent sont évidentes et non cachées.
Il est probable que le manque de techniques permettant de masquer les activités malveillantes et le code extrêmement simple permettent de contourner le système automatisé d'examen préliminaire des modules complémentaires. Dans le même temps, il n'est pas clair comment la vérification automatisée a ignoré le fait de l'envoi explicite et non caché de données du module complémentaire vers un hôte externe.
Rappelons que, selon Mozilla, l'introduction de la vérification des signatures numériques bloquera la propagation de modules complémentaires malveillants qui espionnent les utilisateurs. Certains développeurs de modules complémentaires avec cette position, ils estiment que le mécanisme de vérification obligatoire à l'aide d'une signature numérique ne fait que créer des difficultés pour les développeurs et conduit à une augmentation du temps nécessaire pour apporter des versions correctives aux utilisateurs, sans affecter en aucune façon la sécurité. Il existe de nombreux triviaux et évidents pour contourner la vérification automatique des modules complémentaires qui permettent d'insérer du code malveillant inaperçu, par exemple en générant une opération à la volée en concaténant plusieurs chaînes puis en exécutant la chaîne résultante en appelant eval. La position de Mozilla La raison en est que la plupart des auteurs de modules complémentaires malveillants sont paresseux et ne recourent pas à de telles techniques pour masquer une activité malveillante.
En octobre 2017, le catalogue AMO comprenait nouveau processus d’examen des suppléments. La vérification manuelle a été remplacée par un processus automatique, qui a éliminé les longues attentes dans la file d'attente pour la vérification et a augmenté la vitesse de livraison des nouvelles versions aux utilisateurs. Dans le même temps, la vérification manuelle n'est pas complètement supprimée, mais est effectuée de manière sélective pour les ajouts déjà publiés. Les ajouts à examiner manuellement sont sélectionnés en fonction de facteurs de risque calculés.
Source: opennet.ru