bloqueando uma série de complementos maliciosos ao navegador Chrome, que afetou vários milhões de usuários. Na primeira etapa, a pesquisadora independente Jamila Kaya () e a Duo Security identificaram 71 complementos maliciosos na Chrome Web Store. No total, esses add-ons totalizaram mais de 1.7 milhão de instalações. Após informar o Google sobre o problema, foram encontrados mais de 430 complementos semelhantes no catálogo, cujo número de instalações não foi informado.
Notavelmente, apesar do número impressionante de instalações, nenhum dos complementos problemáticos tem análises de usuários, levantando questões sobre como os complementos foram instalados e como as atividades maliciosas passaram despercebidas. Todos os complementos problemáticos foram removidos da Chrome Web Store.
Segundo os pesquisadores, atividades maliciosas relacionadas a complementos bloqueados ocorrem desde janeiro de 2019, mas domínios individuais usados para realizar ações maliciosas foram registrados em 2017.
Na sua maioria, os add-ons maliciosos foram apresentados como ferramentas para promover produtos e participar em serviços publicitários (o utilizador visualiza anúncios e recebe royalties). Os complementos utilizavam uma técnica de redirecionamento para sites anunciados ao abrir páginas, que eram mostradas em cadeia antes de exibir o site solicitado.
Todos os complementos usaram a mesma técnica para ocultar atividades maliciosas e ignorar os mecanismos de verificação de complementos na Chrome Web Store. O código de todos os complementos era quase idêntico no nível de origem, com exceção dos nomes das funções, que eram exclusivos em cada complemento. A lógica maliciosa foi transmitida de servidores de controle centralizados. Inicialmente, o add-on foi conectado a um domínio que tinha o mesmo nome do add-on (por exemplo, Mapstrek.com), após o qual foi redirecionado para um dos servidores de controle, que forneceu um script para ações posteriores .
Algumas das ações realizadas por meio de complementos incluem o upload de dados confidenciais do usuário para um servidor externo, o encaminhamento para sites maliciosos e a instalação de aplicativos maliciosos (por exemplo, é exibida uma mensagem informando que o computador está infectado e malware é oferecido sob sob o disfarce de um antivírus ou atualização do navegador). Os domínios para os quais foram feitos redirecionamentos incluem vários domínios e sites de phishing para explorar navegadores não atualizados contendo vulnerabilidades não corrigidas (por exemplo, após a exploração, foram feitas tentativas de instalar malware que interceptou chaves de acesso e analisou a transferência de dados confidenciais através da área de transferência).
Fonte: opennet.ru