het blokkeren van een reeks kwaadaardige add-ons voor de Chrome-browser, waardoor miljoenen gebruikers werden getroffen. In de eerste fase heeft onafhankelijk onderzoeker Jamila Kaya () en Duo Security hebben 71 kwaadaardige add-ons geïdentificeerd in de Chrome Web Store. In totaal waren deze add-ons goed voor ruim 1.7 miljoen installaties. Nadat Google over het probleem was geïnformeerd, werden er meer dan 430 soortgelijke add-ons in de catalogus gevonden, waarvan het aantal installaties niet werd gerapporteerd.
Opvallend is dat, ondanks het indrukwekkende aantal installaties, geen van de problematische add-ons gebruikersrecensies heeft, wat vragen oproept over hoe de add-ons werden geïnstalleerd en hoe kwaadaardige activiteiten onopgemerkt bleven. Alle problematische add-ons zijn nu verwijderd uit de Chrome Web Store.
Volgens onderzoekers vinden er sinds januari 2019 kwaadaardige activiteiten met betrekking tot geblokkeerde add-ons plaats, maar werden individuele domeinen die werden gebruikt om kwaadaardige acties uit te voeren al in 2017 geregistreerd.
Voor het grootste deel werden kwaadaardige add-ons gepresenteerd als hulpmiddelen voor het promoten van producten en het deelnemen aan advertentiediensten (de gebruiker bekijkt advertenties en ontvangt royalty's). De add-ons gebruikten een techniek om bij het openen van pagina's om te leiden naar geadverteerde sites, die in een keten werden getoond voordat de gevraagde site werd weergegeven.
Alle add-ons gebruikten dezelfde techniek om kwaadaardige activiteiten te verbergen en de verificatiemechanismen van add-ons in de Chrome Web Store te omzeilen. De code voor alle add-ons was op bronniveau vrijwel identiek, met uitzondering van de functienamen, die in elke add-on uniek waren. De kwaadaardige logica werd verzonden vanaf gecentraliseerde controleservers. In eerste instantie was de add-on verbonden met een domein dat dezelfde naam had als de naam van de add-on (bijvoorbeeld Mapstrek.com), waarna deze werd doorgestuurd naar een van de controleservers, die een script leverde voor verdere acties .
Enkele van de acties die via add-ons worden uitgevoerd, zijn onder meer het uploaden van vertrouwelijke gebruikersgegevens naar een externe server, het doorsturen naar kwaadaardige sites en het zich overgeven aan de installatie van kwaadaardige applicaties (er wordt bijvoorbeeld een bericht weergegeven dat de computer is geïnfecteerd en malware wordt aangeboden onder onder het mom van een antivirus- of browserupdate). Tot de domeinen waarnaar werd doorverwezen, behoren verschillende phishing-domeinen en sites voor het exploiteren van niet-geüpdatete browsers die niet-gepatchte kwetsbaarheden bevatten (na de exploitatie zijn er bijvoorbeeld pogingen ondernomen om malware te installeren die toegangssleutels onderschepte en de overdracht van vertrouwelijke gegevens via het klembord analyseerde).
Bron: opennet.ru