В каталоге дополнений к Firefox () массовая публикация вредоносных дополнений, прикрывающихся известными проектами. Например, в каталоге размещены вредоносные дополнения «Adobe Flash Player», «ublock origin Pro», «Adblock Flash Player» и т.п.
По мере удаления подобных дополнений из каталога злоумышленники сразу создают новый аккаунт и повторно размещают свои дополнения. Например, несколько часов назад была создана учётная запись , под которой размещены дополнения «Youtube Adblock», «Ublock plus», «Adblock Plus 2019». Судя по всему описание к дополнениям формируется для обеспечения их вывода в топе при поисковых запросах «Adobe Flash Player» и «Adobe Flash».
При установке дополнения запрашивают полномочия для доступа ко всем данным просматриваемых сайтов. В процессе работы запускается кейлоггер, который передаёт на хост theridgeatdanbury.com сведения о заполнении форм и устанавливаемых Cookie. Имена установочных файлов дополнений имеют вид «adpbe_flash_player-*.xpi» или «player_downloader-*.xpi». Код скриптов внутри дополнений незначительно отличается, но выполняемые ими вредоносные действия очевидны и не скрываются.
Вероятно, отсутствие применения техник скрытия вредоносной активности и предельно простой код позволяют обойти автоматизированную систему предварительного рецензирования дополнений. При этом непонятно, как при автоматизированной проверке был игнорирован факт явной и не скрытой отправки данных из дополнения на внешний хост.
Напомним, что по мнению Mozilla введение проверки по цифровой подписи позволит блокировать распространение вредоносных и шпионящих за пользователями дополнений. Некоторые разработчики дополнений с такой позицией и считают, что механизм обязательной проверки по цифровой подписи лишь создаёт сложности для разработчиков и приводит к увеличению времени доведения до пользователей корректирующих выпусков, никак не влияя на безопасность. Существует множество тривиальных и очевидных để bỏ qua quá trình kiểm tra tự động đối với các tiện ích bổ sung cho phép chèn mã độc mà không bị phát hiện, ví dụ: bằng cách tạo một thao tác nhanh chóng bằng cách nối một số chuỗi và sau đó thực thi chuỗi kết quả bằng cách gọi eval. Vị trí của Mozilla Lý do là hầu hết tác giả của các tiện ích bổ sung độc hại đều lười biếng và sẽ không dùng đến những kỹ thuật như vậy để che giấu hoạt động độc hại.
В октябре 2017 года в каталоге AMO был новый процесс рецензирования дополнений. На смену ручной проверке пришёл автоматический процесс, который позволил избавиться от длительных ожиданий в очереди на прохождение проверки и увеличил оперативность доставки новых выпусков до пользователей. При этом ручная проверка полностью не упразднена, а выборочно проводится для уже размещённых дополнений. Дополнения для ручной проверки выбираются на основании вычисленных факторов риска.
Nguồn: opennet.ru