blockerar en serie skadliga tillägg till webbläsaren Chrome, vilket påverkade flera miljoner användare. I det första skedet, oberoende forskare Jamila Kaya () och Duo Security har identifierat 71 skadliga tillägg i Chrome Web Store. Totalt uppgick dessa tillägg till mer än 1.7 miljoner installationer. Efter att ha informerat Google om problemet hittades mer än 430 liknande tillägg i katalogen, vars antal installationer inte rapporterades.
Noterbart, trots det imponerande antalet installationer, har inget av de problematiska tilläggen användarrecensioner, vilket väcker frågor om hur tilläggen installerades och hur skadlig aktivitet blev oupptäckt. Alla problematiska tillägg har nu tagits bort från Chrome Web Store.
Enligt forskare har skadlig aktivitet relaterad till blockerade tillägg pågått sedan januari 2019, men enskilda domäner som användes för att utföra skadliga åtgärder registrerades redan 2017.
För det mesta presenterades skadliga tillägg som verktyg för att marknadsföra produkter och delta i reklamtjänster (användaren ser annonser och får royalties). Tilläggen använde en teknik för att omdirigera till annonserade webbplatser när sidor öppnades, som visades i en kedja innan den efterfrågade webbplatsen visades.
Alla tillägg använde samma teknik för att dölja skadlig aktivitet och kringgå verifieringsmekanismer för tillägg i Chrome Web Store. Koden för alla tillägg var nästan identisk på källnivå, med undantag för funktionsnamn som var unika i varje tillägg. Den skadliga logiken överfördes från centraliserade kontrollservrar. Till en början kopplades tillägget till en domän som hade samma namn som tilläggsnamnet (till exempel Mapstrek.com), varefter det omdirigerades till en av kontrollservrarna, vilket gav ett skript för ytterligare åtgärder .
Några av de åtgärder som utförs genom tillägg inkluderar att ladda upp konfidentiell användardata till en extern server, vidarebefordra till skadliga webbplatser och ägna sig åt installation av skadliga applikationer (till exempel visas ett meddelande om att datorn är infekterad och skadlig programvara erbjuds under sken av ett antivirus- eller webbläsaruppdatering). De domäner som omdirigeringar gjordes till inkluderar olika nätfiskedomäner och webbplatser för att utnyttja ouppdaterade webbläsare som innehåller oparpade sårbarheter (till exempel efter exploatering gjordes försök att installera skadlig programvara som snappade upp åtkomstnycklar och analyserade överföringen av konfidentiell data via urklipp).
Källa: opennet.ru