HTCinside
A Duo Security cég a közelmúltban több mint 500 több milliószor letöltött böngészőbővítményt azonosított, amelyek ellopják a felhasználók adatait, és feltöltik azokat a támadók által ellenőrzött szerverekre. Megállapítást nyert, hogy ezek a bővítmények körülbelül 2019 januárjától működtek, és márciustól júniusig gyorsan nőtt az áramlás. A cég azonban felhívja a figyelmet arra a lehetőségre, hogy sokkal hosszabb ideig, esetleg 2017 óta működhettek volna.
Jamila Kaya, a Cisco tulajdonában lévő cég független kutatója megállapította, hogy egy régóta tartó rosszindulatú reklámozási és csalási rendszer részei. A cég az első körben 71 ilyen bővítményt azonosított, amelyeket több mint 1,7 millióan töltöttek le a Chrome Internetes áruházból. Jelentették ezeket a megállapításokat a Google-nak, amikor további mintegy 400 ilyen bővítményt fedeztek fel.
Noha a bővítményekben semmi közös nem volt, ami a funkcionalitást illeti, ugyanazt a forráskódot osztották meg, állapította meg Kaya. Ezeket a bővítményeket a segítségével fedezte fel CRXcavator , a Duo Security által kifejlesztett és ingyenesen használható eszköz. Ez az eszköz bármely Chrome-bővítmény biztonságát méri.
Ezeket az árnyékos bővítményeket olyan segédprogramokként vezették be, amelyek különféle promóciókat biztosítottak. A tény azonban az volt, hogy a bővítmények reklámcsalást és rosszindulatú reklámozást hoztak a böngészőkben. A beépülő modulok ezután egy olyan webhelyhez kapcsolódnának, amelynek hangzása hasonló a felhasználó által telepített bővítményhez, hogy ellenőrizzék, nem kell-e eltávolítaniuk magukat.
A beépülő modulok ezután átirányítják a böngészőket a keményen kódolt szerverekre, hogy további utasításokat kapjanak a teendőkről. A böngészők itt töltenek fel adatokat, hirdetési feedlistákat vagy domaineket a jövőbeli átirányításokhoz. A böngészők egyszerűen követték, és megtették, amit kértek az átirányításokon keresztül.
Olvas -A Shady Chrome bővítmény 16 000 dollár értékű kriptovalutát lop
Megfigyelték, hogy míg az átirányítások többnyire ártalmatlanok voltak, az átirányítások számának figyelembevételével rosszindulatúvá és csalókává vált. Egyes esetekben a böngészőt 30-szor felfelé irányították át. Ehhez járul még a legtöbb hirdetés szándékos elrejtése a felhasználók elől, és e kettő kombinációja, ahol az átirányítások rosszindulatú programokra és adathalász oldalakra vezetnék a felhasználót.
A Duo Security megjegyzi, hogy ezeket a bővítményeket úgy hozták létre, hogy a hirdetéssel kapcsolatos tényleges szándék mindig rejtve maradjon a felhasználók elől. 'Erre azért került sor, hogy a böngésző klienseit egy parancs- és vezérlőarchitektúrához kapcsolják, a privát böngészési adatokat a felhasználók tudta nélkül kiszűrjék, a felhasználót a hirdetési folyamokon keresztüli visszaélés kockázatának tegyék ki, és megpróbálják kijátszani a Chrome Internetes áruház csalásészlelő mechanizmusait.” – áll a biztonsági cég jelentésében.
A Google már rég letiltotta a bővítményeket, és rosszindulatú programként jelölte meg őket, így a felhasználók többé nem telepíthetik és nem férhetnek hozzá. Hasonlóképpen hasznos, ha a felhasználó óvatosan telepíti és engedélyezi a bővítményeket, és eltávolítja azokat a gyanús bővítményeket, amelyeket nem ismer fel, vagy amelyeket már régóta nem használt.