pagharang sa isang serye ng mga nakakahamak na Chrome browser add-on na nakaapekto sa ilang milyong user. Sa unang yugto, ang independiyenteng mananaliksik na si Jamila Kaya () at Duo Security ay natukoy ang 71 nakakahamak na add-on sa Chrome Web Store. Ang mga add-on na ito ay may pinagsamang kabuuang mahigit sa 1.7 milyong pag-install. Matapos maabisuhan ang Google tungkol sa isyu, higit sa 430 higit pang katulad na mga add-on ang natuklasan sa tindahan, na may hindi isiniwalat na bilang ng pag-install.
Kapansin-pansin, sa kabila ng kahanga-hangang bilang ng mga pag-install, wala sa mga may problemang add-on ang may mga review ng user, na nagtataas ng mga tanong tungkol sa kung paano na-install ang mga add-on at kung paano hindi natukoy ang nakakahamak na aktibidad. Lahat ng may problemang add-on ay inalis na ngayon sa Chrome Web Store.
Ayon sa mga mananaliksik, ang malisyosong aktibidad na nauugnay sa mga naka-block na add-on ay nagpapatuloy mula noong Enero 2019, ngunit ang mga indibidwal na domain na ginamit upang magsagawa ng mga nakakahamak na aksyon ay nairehistro na noong unang bahagi ng 2017.
Karamihan sa mga nakakahamak na add-on ay ipinakita bilang mga tool para sa pag-promote ng mga produkto at paglahok sa mga serbisyo sa advertising (ang user ay tumitingin ng mga ad at tumatanggap ng mga royalty). Nire-redirect ng mga add-on ang mga user sa mga na-advertise na website kapag nagbubukas ng mga page na ipinakita noon sa isang chain bago ang hiniling na website.
Gumamit ang lahat ng mga add-on ng katulad na pamamaraan upang itago ang nakakahamak na aktibidad at i-bypass ang mga mekanismo ng pag-verify ng add-on sa Chrome Web Store. Ang code para sa lahat ng mga add-on ay halos magkapareho sa antas ng source code, maliban sa mga pangalan ng function, na kakaiba para sa bawat add-on. Ang malisyosong lohika ay ipinadala mula sa mga sentralisadong command-and-control server. Sa una, ang add-on ay nakakonekta sa isang domain na may parehong pangalan ng add-on (hal., Mapstrek.com), pagkatapos nito ay na-redirect ito sa isa sa mga command-and-control server, na pagkatapos ay nagbigay ng script para sa mga karagdagang aksyon.
Kabilang sa mga pagkilos na isinagawa sa pamamagitan ng mga add-on ay ang pag-upload ng kumpidensyal na data ng user sa isang external na server, pag-redirect ng mga user sa mga nakakahamak na website, at paghikayat sa pag-install ng mga nakakahamak na application (halimbawa, pagpapakita ng mensahe tungkol sa isang impeksyon sa computer at pag-aalok ng malware na nakatago bilang isang antivirus o pag-update ng browser). Ang mga domain ay na-redirect upang isama ang iba't ibang mga domain ng phishing at mga site na idinisenyo upang pagsamantalahan ang mga luma na browser na naglalaman ng mga hindi na-patch na kahinaan (halimbawa, pagkatapos ng pagsasamantala, ginawa ang mga pagtatangka na mag-install ng malware na humarang sa mga access key at sinusuri ang kumpidensyal na data na ipinadala sa pamamagitan ng clipboard).
Pinagmulan: opennet.ru
