No directorio de complementos de Firefox () publicación masiva de complementos maliciosos disfrazados de proxectos coñecidos. Por exemplo, o directorio contén complementos maliciosos "Adobe Flash Player", "ublock origin Pro", "Adblock Flash Player", etc.
Como tales complementos son eliminados do catálogo, os atacantes crean inmediatamente unha nova conta e volven publicar os seus complementos. Por exemplo, unha conta creouse hai unhas horas , baixo os cales se atopan os complementos "Youtube Adblock", "Ublock plus", "Adblock Plus 2019". Ao parecer, a descrición dos complementos está formada para garantir que aparecen na parte superior das consultas de busca "Adobe Flash Player" e "Adobe Flash".
Cando se instalan, os complementos solicitan permisos para acceder a todos os datos dos sitios que estás a ver. Durante o funcionamento, lánzase un keylogger, que transmite información sobre o enchido de formularios e as cookies instaladas ao host theridgeatdanbury.com. Os nomes dos ficheiros de instalación de complementos son "adpbe_flash_player-*.xpi" ou "player_downloader-*.xpi". O código de script dentro dos complementos é lixeiramente diferente, pero as accións maliciosas que realizan son obvias e non están ocultas.
É probable que a falta de técnicas para ocultar a actividade maliciosa e o código extremadamente sinxelo permitan evitar o sistema automatizado para a revisión preliminar dos complementos. Ao mesmo tempo, non está claro como a comprobación automatizada ignorou o feito do envío explícito e non oculto de datos desde o complemento a un host externo.
Lembremos que, segundo Mozilla, a introdución da verificación de sinatura dixital bloqueará a propagación de complementos maliciosos que espian aos usuarios. Algúns desenvolvedores de complementos con esta postura, consideran que o mecanismo de verificación obrigatoria mediante a sinatura dixital só crea dificultades para os desenvolvedores e leva a un aumento do tempo que se tarda en achegar versións correctivas aos usuarios, sen afectar de ningún xeito á seguridade. Hai moitos triviais e obvios para evitar a comprobación automatizada de complementos que permiten inserir código malicioso desapercibido, por exemplo, xerando unha operación sobre a marcha concatenando varias cadeas e executando despois a cadea resultante chamando a eval. Posición de Mozilla O motivo é que a maioría dos autores de complementos maliciosos son preguiceiros e non recorrerán a tales técnicas para ocultar actividade maliciosa.
En outubro de 2017 incluíuse o catálogo AMO novo proceso de revisión de complementos. A verificación manual foi substituída por un proceso automático, que eliminou longas esperas na cola para a verificación e aumentou a velocidade de entrega dos novos lanzamentos aos usuarios. Ao mesmo tempo, a verificación manual non está completamente abolida, senón que se realiza de forma selectiva para as adicións xa publicadas. As adicións para a revisión manual son seleccionadas en función dos factores de risco calculados.
Fonte: opennet.ru