blocând o serie de suplimente rău intenționate pentru browserul Chrome, care au afectat câteva milioane de utilizatori. În prima etapă, cercetătoarea independentă Jamila Kaya () și Duo Security au identificat 71 de suplimente rău intenționate în Magazinul web Chrome. În total, aceste suplimente au totalizat peste 1.7 milioane de instalații. După informarea Google despre problemă, în catalog au fost găsite peste 430 de suplimente similare, al căror număr de instalări nu a fost raportat.
În mod remarcabil, în ciuda numărului impresionant de instalări, niciunul dintre suplimentele problematice nu are recenzii ale utilizatorilor, ridicând întrebări despre modul în care au fost instalate suplimentele și despre modul în care activitatea rău intenționată a fost nedetectată. Toate suplimentele problematice au fost acum eliminate din Magazinul web Chrome.
Potrivit cercetătorilor, activitățile rău intenționate asociate cu suplimente blocate au loc din ianuarie 2019, dar domeniile individuale folosite pentru a efectua acțiuni rău intenționate au fost înregistrate încă din 2017.
În cea mai mare parte, suplimentele rău intenționate au fost prezentate ca instrumente de promovare a produselor și de participare la servicii de publicitate (utilizatorul vede reclame și primește redevențe). Suplimentele foloseau o tehnică de redirecționare către site-uri reclame la deschiderea paginilor, care erau afișate în lanț înainte de afișarea site-ului solicitat.
Toate suplimentele au folosit aceeași tehnică pentru a ascunde activitățile rău intenționate și pentru a ocoli mecanismele de verificare a suplimentelor din Magazinul web Chrome. Codul pentru toate suplimentele era aproape identic la nivel de sursă, cu excepția numelor de funcții, care erau unice în fiecare supliment. Logica rău intenționată a fost transmisă de pe serverele de control centralizate. Inițial, suplimentul a fost conectat la un domeniu care avea același nume cu numele suplimentului (de exemplu, Mapstrek.com), după care a fost redirecționat către unul dintre serverele de control, care a furnizat un script pentru acțiuni ulterioare. .
Unele dintre acțiunile efectuate prin intermediul suplimentelor includ încărcarea datelor confidențiale ale utilizatorului pe un server extern, redirecționarea către site-uri rău intenționate și răsfățarea cu instalarea de aplicații rău intenționate (de exemplu, este afișat un mesaj că computerul este infectat și malware este oferit sub masca unui antivirus sau actualizare a browserului). Domeniile către care s-au făcut redirecționări includ diverse domenii de phishing și site-uri pentru exploatarea browserelor neactualizate care conțin vulnerabilități nepattchizate (de exemplu, după exploatare, s-au încercat instalarea de malware care intercepta cheile de acces și analiza transferul de date confidențiale prin clipboard).
Sursa: opennet.ru