注目すべきことに、インストール数が多いにもかかわらず、問題のあるアドオンにはユーザー レビューが存在せず、アドオンがどのようにインストールされたのか、悪意のあるアクティビティがどのように検出されなかったのかという疑問が生じています。 問題のあるアドオンはすべて Chrome ウェブストアから削除されました。
研究者によると、ブロックされたアドオンに関連する悪意のある活動は 2019 年 2017 月から行われていますが、悪意のあるアクションの実行に使用される個々のドメインは XNUMX 年に登録されていました。
ほとんどの場合、悪意のあるアドオンは、製品を宣伝したり、広告サービスに参加したりするためのツールとして提示されました (ユーザーは広告を閲覧し、ロイヤリティを受け取ります)。 このアドオンは、ページを開くときに宣伝されたサイトにリダイレクトする手法を使用しており、要求されたサイトを表示する前にページがチェーンで表示されていました。
すべてのアドオンは、悪意のあるアクティビティを隠蔽し、Chrome ウェブストアのアドオン検証メカニズムをバイパスするために同じ手法を使用していました。 すべてのアドオンのコードは、各アドオンで一意である関数名を除いて、ソース レベルでほぼ同一でした。 悪意のあるロジックは集中管理サーバーから送信されました。 当初、アドオンはアドオン名と同じ名前のドメイン (Mapstrek.com など) に接続されていましたが、その後、コントロール サーバーの XNUMX つにリダイレクトされ、さらなるアクションのためのスクリプトが提供されました。 。
アドオンを通じて実行されるアクションには、機密ユーザー データの外部サーバーへのアップロード、悪意のあるサイトへの転送、悪意のあるアプリケーションのインストール (たとえば、コンピューターが感染し、マルウェアが提供されるというメッセージが表示されます) が含まれます。ウイルス対策またはブラウザのアップデートを装ったもの)。 リダイレクトされたドメインには、さまざまなフィッシング ドメインや、パッチが適用されていない脆弱性を含む未更新のブラウザを悪用するサイトが含まれます(たとえば、悪用後、アクセス キーを傍受し、クリップボードを介した機密データの転送を分析するマルウェアをインストールしようとする試みが行われました)。
出所: オープンネット.ru