blokiranje niza zlonamjernih dodataka pregledniku Chrome, što je utjecalo na nekoliko milijuna korisnika. U prvoj fazi, neovisna istraživačica Jamila Kaya () i Duo Security identificirali su 71 zlonamjerni dodatak u Chrome web trgovini. Ukupno su ovi dodaci imali više od 1.7 milijuna instalacija. Nakon obavijesti Googlea o problemu, u katalogu je pronađeno više od 430 sličnih dodataka čiji broj instalacija nije prijavljen.
Naime, unatoč impresivnom broju instalacija, niti jedan od problematičnih dodataka nema korisničke recenzije, što postavlja pitanja o tome kako su dodaci instalirani i kako je zlonamjerna aktivnost ostala neotkrivena. Svi problematični dodaci sada su uklonjeni iz Chrome web trgovine.
Prema istraživačima, zlonamjerne aktivnosti povezane s blokiranim dodacima odvijale su se od siječnja 2019., no pojedinačne domene korištene za izvođenje zlonamjernih radnji registrirane su još 2017. godine.
Uglavnom su maliciozni dodaci predstavljeni kao alati za promociju proizvoda i sudjelovanje u uslugama oglašavanja (korisnik gleda reklame i prima tantijeme). Dodaci su koristili tehniku preusmjeravanja na oglašene stranice prilikom otvaranja stranica, koje su se prikazivale u lancu prije prikazivanja tražene stranice.
Svi su dodaci koristili istu tehniku za skrivanje zlonamjerne aktivnosti i zaobilaženje mehanizama provjere dodataka u Chrome web-trgovini. Kod za sve dodatke bio je gotovo identičan na izvornoj razini, s izuzetkom naziva funkcija, koji su bili jedinstveni u svakom dodatku. Zlonamjerna logika prenijeta je s centraliziranih kontrolnih poslužitelja. U početku je dodatak bio spojen na domenu koja je imala isti naziv kao i naziv dodatka (npr. Mapstrek.com), nakon čega je preusmjeren na jedan od kontrolnih poslužitelja koji je davao skriptu za daljnje radnje .
Neke od radnji koje se provode putem dodataka uključuju učitavanje povjerljivih korisničkih podataka na vanjski poslužitelj, prosljeđivanje zlonamjernim stranicama i prepuštanje instalaciji zlonamjernih aplikacija (primjerice, prikazuje se poruka da je računalo zaraženo i nudi se zlonamjerni softver pod pod krinkom antivirusnog programa ili ažuriranja preglednika). Domene na koje su napravljena preusmjeravanja uključuju različite phishing domene i stranice za iskorištavanje neažuriranih preglednika koji sadrže nezakrpane ranjivosti (na primjer, nakon iskorištavanja pokušalo se instalirati malware koji je presreo pristupne ključeve i analizirao prijenos povjerljivih podataka putem međuspremnika).
Izvor: opennet.ru