bloccando una serie di componenti aggiuntivi dannosi per il browser Chrome, che hanno colpito diversi milioni di utenti. Nella prima fase, la ricercatrice indipendente Jamila Kaya () e Duo Security hanno identificato 71 componenti aggiuntivi dannosi nel Chrome Web Store. In totale, questi componenti aggiuntivi hanno totalizzato oltre 1.7 milioni di installazioni. Dopo aver informato Google del problema, nel catalogo sono stati trovati più di 430 componenti aggiuntivi simili, di cui non è stato riportato il numero di installazioni.
In particolare, nonostante l'impressionante numero di installazioni, nessuno dei componenti aggiuntivi problematici dispone di recensioni da parte degli utenti, sollevando dubbi su come sono stati installati i componenti aggiuntivi e su come le attività dannose non sono state rilevate. Tutti i componenti aggiuntivi problematici sono stati ora rimossi dal Chrome Web Store.
Secondo i ricercatori, l’attività dannosa associata ai componenti aggiuntivi bloccati è in corso da gennaio 2019, ma i singoli domini utilizzati per eseguire azioni dannose sono stati registrati già nel 2017.
Nella maggior parte dei casi, i componenti aggiuntivi dannosi venivano presentati come strumenti per promuovere prodotti e partecipare a servizi pubblicitari (l'utente visualizza annunci pubblicitari e riceve royalties). I componenti aggiuntivi utilizzavano una tecnica di reindirizzamento ai siti pubblicizzati all'apertura delle pagine, che venivano mostrate in una catena prima di visualizzare il sito richiesto.
Tutti i componenti aggiuntivi utilizzavano la stessa tecnica per nascondere attività dannose e aggirare i meccanismi di verifica dei componenti aggiuntivi nel Chrome Web Store. Il codice di tutti i componenti aggiuntivi era quasi identico a livello di sorgente, ad eccezione dei nomi delle funzioni, che erano univoci in ciascun componente aggiuntivo. La logica dannosa è stata trasmessa da server di controllo centralizzati. Inizialmente, il componente aggiuntivo era connesso a un dominio che aveva lo stesso nome del componente aggiuntivo (ad esempio Mapstrek.com), dopodiché veniva reindirizzato a uno dei server di controllo, che forniva uno script per ulteriori azioni .
Alcune delle azioni eseguite tramite componenti aggiuntivi includono il caricamento di dati utente riservati su un server esterno, l'inoltro a siti dannosi e l'installazione di applicazioni dannose (ad esempio, viene visualizzato un messaggio che informa che il computer è infetto e viene offerto malware sotto sotto forma di un antivirus o di un aggiornamento del browser). Tra i domini verso i quali sono stati effettuati i reindirizzamenti figurano diversi domini di phishing e siti per lo sfruttamento di browser non aggiornati che contengono vulnerabilità senza patch (ad esempio, dopo l'attacco si è tentato di installare un malware che intercettasse le chiavi di accesso e analizzasse la trasmissione di dati riservati tramite gli appunti).
Fonte: opennet.ru