У директоријуму Фирефок додатака () масовно објављивање злонамерних додатака прерушених у познате пројекте. На пример, директоријум садржи злонамерне додатке „Адобе Фласх Плаиер“, „ублоцк оригин Про“, „Адблоцк Фласх Плаиер“ итд.
Пошто се такви додаци уклањају из каталога, нападачи одмах креирају нови налог и поново постављају своје додатке. На пример, налог је направљен пре неколико сати , испод којег се налазе додаци „Иоутубе Адблоцк“, „Ублоцк плус“, „Адблоцк Плус 2019“. Очигледно, опис додатака је формиран како би се осигурало да се појављују на врху за упите за претрагу „Адобе Фласх Плаиер“ и „Адобе Фласх“.
Када се инсталирају, додаци траже дозволе за приступ свим подацима на сајтовима које гледате. Током рада, покреће се кеилоггер, који преноси информације о попуњавању образаца и инсталираним колачићима на хост тхеридгеатданбури.цом. Називи инсталационих датотека додатака су „адпбе_фласх_плаиер-*.кпи“ или „плаиер_довнлоадер-*.кпи“. Код скрипте унутар додатака је мало другачији, али злонамерне радње које обављају су очигледне и нису скривене.
Вероватно је да недостатак техника за скривање злонамерне активности и изузетно једноставан код омогућавају да се заобиђе аутоматизовани систем за прелиминарни преглед додатака. Истовремено, није јасно како је аутоматизована провера игнорисала чињеницу експлицитног, а не скривеног слања података из додатка на спољни хост.
Подсетимо, према Мозили, увођење провере дигиталног потписа блокираће ширење злонамерних додатака који шпијунирају кориснике. Неки програмери додатака са оваквим ставом сматрају да механизам обавезне провере коришћењем дигиталног потписа само ствара потешкоће програмерима и доводи до повећања времена потребног за доношење корективних издања корисницима, а да ни на који начин не утиче на безбедност. Има много тривијалних и очигледних да заобиђе аутоматску проверу додатака који дозвољавају да се злонамерни код убаци непримећено, на пример, генерисањем операције у ходу спајањем неколико стрингова и затим извршавањем резултујућег стринга позивањем евал-а. Мозилла-ин положај Разлог је тај што је већина аутора злонамерних додатака лења и неће прибегавати таквим техникама да сакрију злонамерне активности.
У октобру 2017. АМО каталог је укључен нови процес прегледа додатака. Ручна верификација је замењена аутоматским процесом, који је елиминисао дуга чекања у реду за верификацију и повећао брзину испоруке нових издања корисницима. Истовремено, ручна верификација није у потпуности укинута, већ се селективно спроводи за већ постављене додатке. Додаци за ручни преглед се бирају на основу израчунатих фактора ризика.
Извор: опеннет.ру