在 Firefox 附加组件目录中 () 大规模发布伪装成知名项目的恶意插件。 例如,该目录包含恶意插件“Adobe Flash Player”、“ublock origin Pro”、“Adblock Flash Player”等。
当此类附加组件从目录中删除时,攻击者会立即创建一个新帐户并重新发布其附加组件。 例如,几个小时前创建了一个帐户 ,其下有附加组件“Youtube Adblock”、“Ublock plus”、“Adblock Plus 2019”。 显然,附加组件的描述是为了确保它们出现在搜索查询“Adobe Flash Player”和“Adobe Flash”的顶部。
安装后,附加组件会请求访问您正在查看的网站上的所有数据的权限。 在操作过程中,会启动键盘记录器,将有关填写表格和安装 Cookie 的信息传输到主机 theridgeatdanbury.com。 附加安装文件的名称为“adpbe_flash_player-*.xpi”或“player_downloader-*.xpi”。 附加组件内的脚本代码略有不同,但它们执行的恶意操作是显而易见的且并非隐藏的。
缺乏隐藏恶意活动的技术和极其简单的代码很可能使得绕过自动化系统对附加组件进行初步审查成为可能。 同时,尚不清楚自动检查如何忽略从附加组件到外部主机的显式且非隐藏的数据发送这一事实。
让我们回想一下,根据 Mozilla 的说法,数字签名验证的引入将阻止监视用户的恶意插件的传播。 一些附加开发人员 基于这一立场,他们认为使用数字签名的强制验证机制只会给开发人员带来困难,并导致向用户提供纠正版本所需的时间增加,而不会以任何方式影响安全性。 有很多琐碎且显而易见的事情 绕过对允许在不被注意的情况下插入恶意代码的附加组件的自动检查,例如,通过连接多个字符串来动态生成操作,然后通过调用 eval 执行生成的字符串。 Mozilla 的立场 原因是大多数恶意附加组件的作者都很懒,不会采用此类技术来隐藏恶意活动。
2017年XNUMX月,AMO目录包括 新的补充审查流程。 手动验证被自动过程取代,消除了验证队列中的长时间等待,并提高了向用户交付新版本的速度。 同时,人工验证并没有完全取消,而是对已经发布的添加有选择性地进行。 人工审核的添加是根据计算出的风险因素来选择的。
来源: opennet.ru