บล็อกชุดโปรแกรมเสริมที่เป็นอันตรายในเบราว์เซอร์ Chrome ซึ่งส่งผลกระทบต่อผู้ใช้หลายล้านคน ในระยะแรก นักวิจัยอิสระ Jamila Kaya () และ Duo Security ได้ระบุส่วนเสริมที่เป็นอันตราย 71 รายการใน Chrome เว็บสโตร์ โดยรวมแล้วส่วนเสริมเหล่านี้มีการติดตั้งมากกว่า 1.7 ล้านครั้ง หลังจากแจ้ง Google เกี่ยวกับปัญหาแล้ว พบส่วนเสริมที่คล้ายกันมากกว่า 430 รายการในแค็ตตาล็อก ซึ่งจำนวนการติดตั้งไม่ได้รับการรายงาน
แม้จะมีจำนวนการติดตั้งที่น่าประทับใจ แต่ส่วนเสริมที่เป็นปัญหานั้นไม่ได้รับการตรวจสอบจากผู้ใช้ ทำให้เกิดคำถามเกี่ยวกับวิธีการติดตั้งส่วนเสริมและกิจกรรมที่เป็นอันตรายไม่ถูกตรวจจับ ส่วนเสริมที่มีปัญหาทั้งหมดได้ถูกลบออกจาก Chrome เว็บสโตร์แล้ว
จากข้อมูลของนักวิจัย กิจกรรมที่เป็นอันตรายที่เกี่ยวข้องกับส่วนเสริมที่ถูกบล็อกนั้นเกิดขึ้นตั้งแต่เดือนมกราคม 2019 แต่แต่ละโดเมนที่ใช้ในการดำเนินการที่เป็นอันตรายได้รับการจดทะเบียนในปี 2017
ส่วนเสริมที่เป็นอันตรายส่วนใหญ่ถูกนำเสนอเป็นเครื่องมือในการโปรโมตผลิตภัณฑ์และการเข้าร่วมบริการโฆษณา (ผู้ใช้ดูโฆษณาและรับค่าลิขสิทธิ์) ส่วนเสริมใช้เทคนิคการเปลี่ยนเส้นทางไปยังไซต์ที่โฆษณาเมื่อเปิดหน้าเว็บ ซึ่งแสดงเป็นกลุ่มก่อนที่จะแสดงไซต์ที่ร้องขอ
ส่วนเสริมทั้งหมดใช้เทคนิคเดียวกันในการซ่อนกิจกรรมที่เป็นอันตรายและข้ามกลไกการตรวจสอบส่วนเสริมใน Chrome เว็บสโตร์ รหัสสำหรับส่วนเสริมทั้งหมดเกือบจะเหมือนกันในระดับต้นทาง ยกเว้นชื่อฟังก์ชัน ซึ่งไม่ซ้ำกันในแต่ละส่วนเสริม ตรรกะที่เป็นอันตรายถูกส่งจากเซิร์ฟเวอร์ควบคุมแบบรวมศูนย์ เริ่มแรก ส่วนเสริมเชื่อมต่อกับโดเมนที่มีชื่อเดียวกันกับชื่อส่วนเสริม (เช่น Mapstrek.com) หลังจากนั้นจึงเปลี่ยนเส้นทางไปยังเซิร์ฟเวอร์ควบคุมตัวใดตัวหนึ่ง ซึ่งมีสคริปต์สำหรับการดำเนินการเพิ่มเติม .
การดำเนินการบางอย่างที่ดำเนินการผ่านส่วนเสริม ได้แก่ การอัปโหลดข้อมูลผู้ใช้ที่เป็นความลับไปยังเซิร์ฟเวอร์ภายนอก การส่งต่อไปยังไซต์ที่เป็นอันตราย และการติดตั้งแอปพลิเคชันที่เป็นอันตราย (เช่น ข้อความจะปรากฏขึ้นว่าคอมพิวเตอร์ติดไวรัสและมีมัลแวร์อยู่ภายใต้ การปลอมแปลงโปรแกรมป้องกันไวรัสหรือการอัปเดตเบราว์เซอร์) โดเมนที่มีการเปลี่ยนเส้นทางไปนั้นรวมถึงโดเมนและไซต์ฟิชชิ่งต่างๆ เพื่อใช้ประโยชน์จากเบราว์เซอร์ที่ไม่ได้รับการอัปเดตซึ่งมีช่องโหว่ที่ไม่ได้รับการอัปเดต (เช่น หลังจากการแสวงหาผลประโยชน์ มีการพยายามติดตั้งมัลแวร์ที่ดักจับคีย์การเข้าถึงและวิเคราะห์การถ่ายโอนข้อมูลที่เป็นความลับผ่านคลิปบอร์ด)
ที่มา: opennet.ru