pagharang sa isang serye ng mga nakakahamak na add-on sa Chrome browser, na nakaapekto sa ilang milyong user. Sa unang yugto, ang independiyenteng mananaliksik na si Jamila Kaya () at Duo Security ay natukoy ang 71 nakakahamak na add-on sa Chrome Web Store. Sa kabuuan, ang mga add-on na ito ay umabot ng higit sa 1.7 milyong mga pag-install. Pagkatapos ipaalam sa Google ang tungkol sa problema, higit sa 430 katulad na mga add-on ang natagpuan sa catalog, ang bilang ng mga pag-install na hindi naiulat.
Kapansin-pansin, sa kabila ng kahanga-hangang bilang ng mga pag-install, wala sa mga may problemang add-on ang may mga review ng user, na naglalabas ng mga tanong tungkol sa kung paano na-install ang mga add-on at kung paano hindi natukoy ang nakakahamak na aktibidad. Lahat ng may problemang add-on ay inalis na ngayon sa Chrome Web Store.
Ayon sa mga mananaliksik, ang nakakahamak na aktibidad na nauugnay sa mga naka-block na add-on ay nagpapatuloy mula noong Enero 2019, ngunit ang mga indibidwal na domain na ginamit upang magsagawa ng mga nakakahamak na aksyon ay nairehistro noong 2017.
Para sa karamihan, ang mga nakakahamak na add-on ay ipinakita bilang mga tool para sa pag-promote ng mga produkto at paglahok sa mga serbisyo sa advertising (ang user ay tumitingin ng mga ad at tumatanggap ng mga royalty). Gumamit ang mga add-on ng pamamaraan ng pag-redirect sa mga na-advertise na site kapag binubuksan ang mga pahina, na ipinakita sa isang chain bago ipakita ang hiniling na site.
Gumamit ang lahat ng mga add-on ng parehong diskarte upang itago ang nakakahamak na aktibidad at i-bypass ang mga mekanismo ng pag-verify ng add-on sa Chrome Web Store. Ang code para sa lahat ng mga add-on ay halos magkapareho sa antas ng pinagmulan, maliban sa mga pangalan ng function, na kakaiba sa bawat add-on. Ang malisyosong lohika ay ipinadala mula sa mga sentralisadong control server. Sa una, ang add-on ay nakakonekta sa isang domain na may parehong pangalan sa add-on na pangalan (halimbawa, Mapstrek.com), pagkatapos nito ay na-redirect ito sa isa sa mga control server, na nagbigay ng script para sa mga karagdagang aksyon. .
Ang ilan sa mga aksyon na isinagawa sa pamamagitan ng mga add-on ay kinabibilangan ng pag-upload ng kumpidensyal na data ng user sa isang external na server, pagpapasa sa mga nakakahamak na site at pagpapakasasa sa pag-install ng mga nakakahamak na application (halimbawa, isang mensahe ay ipinapakita na ang computer ay nahawaan at ang malware ay inaalok sa ilalim ng ang pagkukunwari ng isang antivirus o pag-update ng browser). Ang mga domain kung saan ginawa ang mga pag-redirect ay kinabibilangan ng iba't ibang mga phishing na domain at site para sa pagsasamantala sa mga hindi na-update na browser na naglalaman ng mga hindi na-patch na kahinaan (halimbawa, pagkatapos ng pagsasamantala, ginawa ang mga pagtatangka na mag-install ng malware na humarang sa mga access key at sinuri ang paglilipat ng kumpidensyal na data sa pamamagitan ng clipboard).
Pinagmulan: opennet.ru