blokkering av en rekke ondsinnede tillegg til Chrome-nettleseren, som påvirket flere millioner brukere. På det første stadiet, uavhengig forsker Jamila Kaya () og Duo Security har identifisert 71 skadelige tillegg i Chrome Nettmarked. Totalt utgjorde disse tilleggene mer enn 1.7 millioner installasjoner. Etter å ha informert Google om problemet, ble det funnet mer enn 430 lignende tillegg i katalogen, hvor antall installasjoner ikke ble rapportert.
Spesielt, til tross for det imponerende antallet installasjoner, har ingen av de problematiske tilleggene brukeranmeldelser, noe som reiser spørsmål om hvordan tilleggene ble installert og hvordan ondsinnet aktivitet ble uoppdaget. Alle problematiske tillegg er nå fjernet fra Chrome Nettmarked.
Ifølge forskere har ondsinnet aktivitet knyttet til blokkerte tillegg pågått siden januar 2019, men individuelle domener som ble brukt til å utføre ondsinnede handlinger ble registrert tilbake i 2017.
For det meste ble ondsinnede tillegg presentert som verktøy for å markedsføre produkter og delta i reklametjenester (brukeren ser på annonser og mottar royalties). Tilleggene brukte en teknikk for å omdirigere til annonserte nettsteder ved åpning av sider, som ble vist i en kjede før visning av det forespurte nettstedet.
Alle tillegg brukte samme teknikk for å skjule ondsinnet aktivitet og omgå tilleggsbekreftelsesmekanismer i Chrome Nettmarked. Koden for alle tillegg var nesten identisk på kildenivå, med unntak av funksjonsnavn, som var unike i hvert tillegg. Den ondsinnede logikken ble overført fra sentraliserte kontrollservere. Opprinnelig ble tillegget koblet til et domene som hadde samme navn som tilleggsnavnet (for eksempel Mapstrek.com), hvoretter det ble omdirigert til en av kontrollserverne, som ga et script for videre handlinger .
Noen av handlingene som utføres gjennom tillegg inkluderer opplasting av konfidensielle brukerdata til en ekstern server, videresending til ondsinnede nettsteder og hengi seg til installasjon av ondsinnede applikasjoner (for eksempel vises en melding om at datamaskinen er infisert og skadelig programvare tilbys under dekke av en antivirus- eller nettleseroppdatering). Domenene det ble omdirigert til inkluderer ulike phishing-domener og nettsteder for å utnytte uoppdaterte nettlesere som inneholder uoppdaterte sårbarheter (for eksempel, etter utnyttelse, ble det forsøkt å installere skadelig programvare som fanget opp tilgangsnøkler og analyserte overføringen av konfidensielle data via utklippstavlen).
Kilde: opennet.ru