chặn hàng loạt tiện ích độc hại trên trình duyệt Chrome khiến hàng triệu người dùng bị ảnh hưởng. Ở giai đoạn đầu, nhà nghiên cứu độc lập Jamila Kaya () và Duo Security đã xác định được 71 tiện ích bổ sung độc hại trong Cửa hàng Chrome trực tuyến. Tổng cộng, các tiện ích bổ sung này có tổng cộng hơn 1.7 triệu lượt cài đặt. Sau khi thông báo cho Google về sự cố, hơn 430 tiện ích bổ sung tương tự đã được tìm thấy trong danh mục, số lượng cài đặt của chúng không được báo cáo.
Đáng chú ý, mặc dù có số lượng cài đặt ấn tượng nhưng không có tiện ích bổ sung có vấn đề nào được người dùng đánh giá, đặt ra câu hỏi về cách cài đặt các tiện ích bổ sung và cách hoạt động độc hại không bị phát hiện. Tất cả các tiện ích bổ sung có vấn đề hiện đã bị xóa khỏi Cửa hàng Chrome trực tuyến.
Theo các nhà nghiên cứu, hoạt động độc hại liên quan đến các tiện ích bổ sung bị chặn đã diễn ra từ tháng 2019 năm 2017, nhưng các tên miền riêng lẻ được sử dụng để thực hiện các hành động độc hại đã được đăng ký trở lại vào năm XNUMX.
Phần lớn, các tiện ích bổ sung độc hại được coi là công cụ để quảng cáo sản phẩm và tham gia các dịch vụ quảng cáo (người dùng xem quảng cáo và nhận tiền bản quyền). Các tiện ích bổ sung đã sử dụng kỹ thuật chuyển hướng đến các trang web được quảng cáo khi mở các trang được hiển thị theo chuỗi trước khi hiển thị trang được yêu cầu.
Tất cả các tiện ích bổ sung đều sử dụng cùng một kỹ thuật để ẩn hoạt động độc hại và bỏ qua các cơ chế xác minh tiện ích bổ sung trong Cửa hàng Chrome trực tuyến. Mã cho tất cả các tiện ích bổ sung gần như giống hệt nhau ở cấp nguồn, ngoại trừ tên hàm là duy nhất trong mỗi tiện ích bổ sung. Logic độc hại được truyền từ các máy chủ điều khiển tập trung. Ban đầu, tiện ích bổ sung được kết nối với một miền có cùng tên với tên tiện ích bổ sung (ví dụ: Mapstrek.com), sau đó nó được chuyển hướng đến một trong các máy chủ điều khiển, máy chủ này cung cấp tập lệnh cho các hành động tiếp theo .
Một số hành động được thực hiện thông qua các tiện ích bổ sung bao gồm tải dữ liệu bí mật của người dùng lên máy chủ bên ngoài, chuyển tiếp đến các trang web độc hại và cài đặt các ứng dụng độc hại (ví dụ: một thông báo hiển thị rằng máy tính đã bị nhiễm và phần mềm độc hại được cung cấp theo chiêu bài chống virus hoặc cập nhật trình duyệt). Các miền được thực hiện chuyển hướng bao gồm nhiều miền và trang web lừa đảo khác nhau để khai thác các trình duyệt chưa cập nhật có chứa các lỗ hổng chưa được vá (ví dụ: sau khi khai thác, các nỗ lực đã được thực hiện để cài đặt phần mềm độc hại chặn khóa truy cập và phân tích việc truyền dữ liệu bí mật qua khay nhớ tạm).
Nguồn: opennet.ru