bloķēt virkni ļaunprātīgu pārlūkprogrammas Chrome papildinājumu, kas skāra vairākus miljonus lietotāju. Pirmajā posmā neatkarīgā pētniece Jamila Kaya () un Duo Security ir identificējuši 71 ļaunprātīgu papildinājumu Chrome interneta veikalā. Kopumā šie papildinājumi instalēja vairāk nekā 1.7 miljonus. Pēc Google informēšanas par problēmu katalogā tika atrasti vairāk nekā 430 līdzīgi papildinājumi, kuru instalēšanas skaits netika ziņots.
Jo īpaši, neskatoties uz iespaidīgo instalāciju skaitu, nevienam no problemātiskajiem papildinājumiem nav lietotāju atsauksmju, radot jautājumus par to, kā papildinājumi tika instalēti un kā ļaunprātīga darbība palika neatklāta. Visi problemātiskie papildinājumi tagad ir noņemti no Chrome interneta veikala.
Pēc pētnieku domām, ļaunprātīga darbība saistībā ar bloķētiem papildinājumiem notiek kopš 2019. gada janvāra, bet atsevišķi domēni, kas izmantoti ļaunprātīgu darbību veikšanai, tika reģistrēti jau 2017. gadā.
Ļaunprātīgie papildinājumi lielākoties tika prezentēti kā rīki produktu reklamēšanai un dalībai reklāmas pakalpojumos (lietotājs skatās reklāmas un saņem honorārus). Papildinājumi izmantoja paņēmienu novirzīšanai uz reklamētajām vietnēm, atverot lapas, kas tika rādītas ķēdē pirms pieprasītās vietnes parādīšanas.
Visi papildinājumi izmantoja vienu un to pašu paņēmienu, lai slēptu ļaunprātīgas darbības un apietu pievienojumprogrammu verifikācijas mehānismus Chrome interneta veikalā. Visu pievienojumprogrammu kods bija gandrīz identisks avota līmenī, izņemot funkciju nosaukumus, kas katrā papildinājumā bija unikāli. Ļaunprātīga loģika tika pārsūtīta no centralizētiem vadības serveriem. Sākotnēji pievienojumprogramma tika savienota ar domēnu, kuram bija tāds pats nosaukums kā pievienojumprogrammas nosaukumam (piemēram, Mapstrek.com), pēc tam tas tika novirzīts uz vienu no vadības serveriem, kas nodrošināja skriptu turpmākajām darbībām. .
Dažas no darbībām, kas tiek veiktas, izmantojot papildinājumus, ietver konfidenciālu lietotāja datu augšupielādi ārējā serverī, pārsūtīšanu uz ļaunprātīgām vietnēm un ļaunprātīgu lietojumprogrammu instalēšanu (piemēram, tiek parādīts ziņojums, ka dators ir inficēts un tiek piedāvāta ļaunprātīga programmatūra antivīrusa vai pārlūkprogrammas atjauninājuma aizsegā). Domēni, uz kuriem tika veikta novirzīšana, ietver dažādus pikšķerēšanas domēnus un vietnes, kas paredzētas neatjauninātu pārlūkprogrammu izmantošanai, kurās ir neatlasītas ievainojamības (piemēram, pēc izmantošanas tika mēģināts instalēt ļaunprātīgu programmatūru, kas pārtvēra piekļuves atslēgas un analizēja konfidenciālu datu pārsūtīšanu, izmantojot starpliktuvi).
Avots: opennet.ru