zablokowanie szeregu szkodliwych dodatków do przeglądarki Chrome, co dotknęło kilka milionów użytkowników. Na pierwszym etapie niezależna badaczka Jamila Kaya () i Duo Security zidentyfikowały 71 złośliwych dodatków w sklepie Chrome Web Store. Łącznie te dodatki spowodowały ponad 1.7 miliona instalacji. Po poinformowaniu Google o problemie w katalogu znaleziono ponad 430 podobnych dodatków, których liczba instalacji nie została zgłoszona.
Warto zauważyć, że pomimo imponującej liczby instalacji żaden z problematycznych dodatków nie ma recenzji użytkowników, co rodzi pytania dotyczące sposobu instalacji dodatków i sposobu, w jaki złośliwa aktywność pozostała niewykryta. Wszystkie problematyczne dodatki zostały już usunięte z Chrome Web Store.
Według badaczy szkodliwa aktywność związana z zablokowanymi dodatkami trwa od stycznia 2019 r., jednak poszczególne domeny wykorzystywane do wykonywania szkodliwych działań zostały zarejestrowane już w 2017 r.
W przeważającej części szkodliwe dodatki były przedstawiane jako narzędzia promujące produkty i uczestniczące w usługach reklamowych (użytkownik ogląda reklamy i otrzymuje tantiemy). Dodatki wykorzystywały technikę przekierowywania do reklamowanych witryn podczas otwierania stron, które były wyświetlane w łańcuchu przed wyświetleniem żądanej witryny.
Wszystkie dodatki stosowały tę samą technikę, aby ukryć złośliwą aktywność i ominąć mechanizmy weryfikacji dodatków w sklepie Chrome Web Store. Kod wszystkich dodatków był prawie identyczny na poziomie źródłowym, z wyjątkiem nazw funkcji, które były unikalne w każdym dodatku. Szkodliwa logika została przesłana ze scentralizowanych serwerów kontrolnych. Początkowo dodatek był podłączony do domeny, która miała taką samą nazwę jak nazwa dodatku (np. Mapstrek.com), po czym został przekierowany na jeden z serwerów sterujących, który udostępnił skrypt do dalszych działań .
Niektóre działania wykonywane za pomocą dodatków obejmują przesyłanie poufnych danych użytkownika na serwer zewnętrzny, przekazywanie do złośliwych witryn i umożliwianie instalacji złośliwych aplikacji (na przykład wyświetlany jest komunikat, że komputer jest zainfekowany i oferowane jest złośliwe oprogramowanie w ramach pod przykrywką aktualizacji programu antywirusowego lub przeglądarki). Domenami, na które dokonywano przekierowań, były różne domeny phishingowe oraz strony służące do eksploracji niezaktualizowanych przeglądarek zawierających niezałatane luki (przykładowo po eksploitacji podejmowano próby instalacji szkodliwego oprogramowania, które przechwytywało klucze dostępu i analizowało przesyłanie poufnych danych przez schowek).
Źródło: opennet.ru