egy sor rosszindulatú bővítmény blokkolása a Chrome böngészőben, ami több millió felhasználót érintett. Az első szakaszban Jamila Kaya független kutató) és a Duo Security 71 rosszindulatú bővítményt azonosított a Chrome Internetes áruházban. Ezek a kiegészítők összesen több mint 1.7 millió telepítést tettek ki. Miután értesítették a Google-t a problémáról, több mint 430 hasonló kiegészítőt találtak a katalógusban, amelyek telepítéseinek számát nem közölték.
Figyelemre méltó, hogy a telepítések lenyűgöző száma ellenére egyik problémás kiegészítőről sem érkezett felhasználói vélemény, ami kérdéseket vet fel a bővítmények telepítésének módjával és a rosszindulatú tevékenységek észlelésének hiányával kapcsolatban. Az összes problémás bővítményt eltávolítottuk a Chrome Internetes áruházból.
A kutatók szerint a blokkolt bővítményekkel kapcsolatos rosszindulatú tevékenység 2019 januárja óta zajlik, de a rosszindulatú műveletek végrehajtására használt egyedi domaineket már 2017-ben regisztrálták.
A rosszindulatú kiegészítőket többnyire a termékek reklámozásának és a hirdetési szolgáltatásokban való részvételnek az eszközeként mutatták be (a felhasználó megtekinti a hirdetéseket és jogdíjakat kap). A bővítmények olyan technikát alkalmaztak, hogy az oldalak megnyitásakor a hirdetett webhelyekre irányítottak át, amelyek a kért webhely megjelenítése előtt láncban jelennek meg.
Minden bővítmény ugyanazt a technikát használta a rosszindulatú tevékenységek elrejtésére és a bővítmények ellenőrzési mechanizmusainak megkerülésére a Chrome Internetes áruházban. Az összes kiegészítő kódja szinte azonos volt a forrás szintjén, kivéve a függvényneveket, amelyek minden kiegészítőben egyediek voltak. A rosszindulatú logika a központosított vezérlőszerverekről érkezett. Kezdetben a bővítmény egy olyan tartományhoz volt csatlakoztatva, amelynek neve megegyezett a bővítmény nevével (például Mapstrek.com), majd átirányították az egyik vezérlőkiszolgálóra, amely parancsfájlt biztosított a további műveletekhez. .
A bővítményeken keresztül végrehajtott műveletek némelyike magában foglalja a bizalmas felhasználói adatok feltöltését egy külső szerverre, a rosszindulatú oldalakra való továbbítást és a rosszindulatú alkalmazások telepítését (például egy üzenet jelenik meg, hogy a számítógép fertőzött, és rosszindulatú programokat ajánlanak fel vírusirtó vagy böngészőfrissítés álcája). A tartományok, amelyekre átirányítottak, különféle adathalász tartományokat és olyan webhelyeket foglalnak magukban, amelyek a frissítetlen böngészők kihasználására szolgálnak, és amelyek nem javított sebezhetőségeket tartalmaznak (például a kizsákmányolást követően olyan rosszindulatú programokat próbáltak telepíteni, amelyek elfogták a hozzáférési kulcsokat, és elemezték a bizalmas adatok átvitelét a vágólapon keresztül).
Forrás: opennet.ru