bloqueando unha serie de complementos maliciosos para o navegador Chrome, que afectou a varios millóns de usuarios. Na primeira etapa, a investigadora independente Jamila Kaya () e Duo Security identificaron 71 complementos maliciosos na Chrome Web Store. En total, estes complementos sumaron máis de 1.7 millóns de instalacións. Despois de informar a Google sobre o problema, atopáronse no catálogo máis de 430 complementos similares, cuxo número de instalacións non se informou.
Notablemente, a pesar do impresionante número de instalacións, ningún dos complementos problemáticos ten opinións de usuarios, o que suscita preguntas sobre como se instalaron os complementos e como non se detectou a actividade maliciosa. Todos os complementos problemáticos elimináronse agora da Chrome Web Store.
Segundo os investigadores, a actividade maliciosa relacionada cos complementos bloqueados leva a cabo desde xaneiro de 2019, pero os dominios individuais utilizados para realizar accións maliciosas rexistráronse en 2017.
Na súa maior parte, os complementos maliciosos presentáronse como ferramentas para promocionar produtos e participar en servizos de publicidade (o usuario ve anuncios e recibe dereitos de autor). Os complementos utilizaban unha técnica de redireccionamento aos sitios anunciados ao abrir páxinas, que se mostraban nunha cadea antes de mostrar o sitio solicitado.
Todos os complementos utilizaron a mesma técnica para ocultar a actividade maliciosa e evitar os mecanismos de verificación de complementos na Chrome Web Store. O código de todos os complementos era case idéntico no nivel de orixe, con excepción dos nomes de funcións, que eran únicos en cada complemento. A lóxica maliciosa foi transmitida desde servidores de control centralizado. Inicialmente, o complemento estaba conectado a un dominio que tiña o mesmo nome que o nome do complemento (por exemplo, Mapstrek.com), despois de que foi redirixido a un dos servidores de control, que proporcionaba un script para accións posteriores.
Algunhas das accións realizadas a través de complementos inclúen cargar datos confidenciais do usuario a un servidor externo, reenviar a sitios maliciosos e permitirse a instalación de aplicacións maliciosas (por exemplo, móstrase unha mensaxe de que o ordenador está infectado e ofrécese software malicioso baixo como un antivirus ou unha actualización do navegador). Os dominios aos que se realizaron as redireccións inclúen varios dominios de phishing e sitios para explotar navegadores non actualizados que conteñen vulnerabilidades sen parchear (por exemplo, despois da explotación, intentáronse instalar programas maliciosos que interceptaban claves de acceso e analizaban a transferencia de datos confidenciais a través do portapapeis).
Fonte: opennet.ru