โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > คลื่นของโปรแกรมเสริมที่เป็นอันตรายในแค็ตตาล็อก Firefox ซึ่งปลอมตัวเป็น Adobe Flash

คลื่นของโปรแกรมเสริมที่เป็นอันตรายในแค็ตตาล็อก Firefox ซึ่งปลอมตัวเป็น Adobe Flash

ในไดเร็กทอรี Add-on ของ Firefox (AMO) ที่ตายตัว การเผยแพร่ส่วนเสริมที่เป็นอันตรายจำนวนมากซึ่งปลอมตัวเป็นโครงการที่มีชื่อเสียง ตัวอย่างเช่น ไดเรกทอรีมีส่วนเสริมที่เป็นอันตราย “Adobe Flash Player”, “ublock origin Pro”, “Adblock Flash Player” เป็นต้น

เนื่องจากส่วนเสริมดังกล่าวถูกลบออกจากแค็ตตาล็อก ผู้โจมตีจึงสร้างบัญชีใหม่ทันทีและโพสต์ส่วนเสริมของตนใหม่อีกครั้ง ตัวอย่างเช่น บัญชีถูกสร้างขึ้นเมื่อไม่กี่ชั่วโมงที่แล้ว ผู้ใช้ไฟร์ฟอกซ์ 15018635ซึ่งเป็นที่ตั้งของส่วนเสริม "Youtube Adblock", "Ublock plus", "Adblock Plus 2019" เห็นได้ชัดว่าคำอธิบายของส่วนเสริมถูกสร้างขึ้นเพื่อให้แน่ใจว่าปรากฏที่ด้านบนสำหรับคำค้นหา "Adobe Flash Player" และ "Adobe Flash"

คลื่นของโปรแกรมเสริมที่เป็นอันตรายในแค็ตตาล็อก Firefox ซึ่งปลอมตัวเป็น Adobe Flash

เมื่อติดตั้งแล้ว ส่วนเสริมจะขอสิทธิ์ในการเข้าถึงข้อมูลทั้งหมดบนไซต์ที่คุณกำลังดูอยู่ ในระหว่างการดำเนินการ คีย์ล็อกเกอร์จะถูกเปิดใช้งาน ซึ่งส่งข้อมูลเกี่ยวกับการกรอกแบบฟอร์มและติดตั้งคุกกี้ไปยังโฮสต์ theridgeatdanbury.com ชื่อของไฟล์การติดตั้งส่วนเสริมคือ “adpbe_flash_player-*.xpi” หรือ “player_downloader-*.xpi” รหัสสคริปต์ภายในส่วนเสริมนั้นแตกต่างกันเล็กน้อย แต่การกระทำที่เป็นอันตรายที่พวกมันทำนั้นชัดเจนและไม่ได้ถูกซ่อนไว้

คลื่นของโปรแกรมเสริมที่เป็นอันตรายในแค็ตตาล็อก Firefox ซึ่งปลอมตัวเป็น Adobe Flash

มีแนวโน้มว่าการขาดเทคนิคในการซ่อนกิจกรรมที่เป็นอันตรายและโค้ดที่ง่ายมากทำให้สามารถข้ามระบบอัตโนมัติเพื่อตรวจสอบส่วนเสริมเบื้องต้นได้ ในขณะเดียวกัน ยังไม่ชัดเจนว่าการตรวจสอบอัตโนมัติจะเพิกเฉยต่อข้อเท็จจริงของการส่งข้อมูลที่ชัดเจนและไม่ได้ซ่อนเร้นจากส่วนเสริมไปยังโฮสต์ภายนอกได้อย่างไร

คลื่นของโปรแกรมเสริมที่เป็นอันตรายในแค็ตตาล็อก Firefox ซึ่งปลอมตัวเป็น Adobe Flash

ขอให้เราจำไว้ว่าตาม Mozilla การแนะนำการตรวจสอบลายเซ็นดิจิทัลจะบล็อกการแพร่กระจายของส่วนเสริมที่เป็นอันตรายที่สอดแนมผู้ใช้ นักพัฒนาส่วนเสริมบางราย ไม่เห็นด้วย ด้วยตำแหน่งนี้ พวกเขาเชื่อว่ากลไกของการตรวจสอบภาคบังคับโดยใช้ลายเซ็นดิจิทัลจะสร้างปัญหาให้กับนักพัฒนาเท่านั้น และนำไปสู่การเพิ่มเวลาที่ใช้ในการนำการแก้ไขมาสู่ผู้ใช้ โดยไม่ส่งผลกระทบต่อความปลอดภัย แต่อย่างใด มีเรื่องเล็กน้อยและชัดเจนมากมาย ลูกเต้า เพื่อข้ามการตรวจสอบอัตโนมัติสำหรับส่วนเสริมที่อนุญาตให้แทรกโค้ดที่เป็นอันตรายโดยไม่มีใครสังเกตเห็น ตัวอย่างเช่น โดยการสร้างการดำเนินการทันทีโดยการเชื่อมสตริงหลาย ๆ เส้นเข้าด้วยกัน จากนั้นเรียกใช้งานสตริงผลลัพธ์โดยการเรียก eval ตำแหน่งของมอซิลลา ลงมา เหตุผลก็คือผู้เขียนส่วนเสริมที่เป็นอันตรายส่วนใหญ่เกียจคร้านและจะไม่หันไปใช้เทคนิคดังกล่าวเพื่อซ่อนกิจกรรมที่เป็นอันตราย

ในเดือนตุลาคม 2017 แค็ตตาล็อก AMO ได้รวมอยู่ด้วย แนะนำ กระบวนการตรวจสอบอาหารเสริมใหม่ การตรวจสอบด้วยตนเองถูกแทนที่ด้วยกระบวนการอัตโนมัติ ซึ่งช่วยลดการรอคิวการตรวจสอบที่ยาวนาน และเพิ่มความเร็วในการจัดส่งผลิตภัณฑ์ออกใหม่ให้กับผู้ใช้ ในเวลาเดียวกัน การตรวจสอบด้วยตนเองไม่ได้ถูกยกเลิกทั้งหมด แต่มีการดำเนินการแบบเลือกสรรสำหรับการเพิ่มที่โพสต์ไว้แล้ว ส่วนเพิ่มเติมสำหรับการตรวจสอบด้วยตนเองจะถูกเลือกโดยพิจารณาจากปัจจัยความเสี่ยงที่คำนวณได้

ที่มา: opennet.ru

เพิ่มความคิดเห็น