Η Google απέσυρε 500 κακόβουλες επεκτάσεις Chrome από το Web Store, αφού διαπίστωσε ότι εισέβαλαν κακόβουλες διαφημίσεις και έστελναν τα δεδομένα περιήγησης χρηστών σε διακομιστές υπό τον έλεγχο των εισβολέων.
Αυτές οι επεκτάσεις αποτελούσαν μέρος μιας εκστρατείας κακοποίησης και καταπολέμησης της απάτης που λειτουργούσε τουλάχιστον από τον Ιανουάριο του 2019, παρόλο που τα αποδεικτικά στοιχεία υποδεικνύουν την πιθανότητα το σχέδιο να είναι ενεργό από το 2017.
Τα ευρήματα έρχονται ως μέρος μιας κοινής έρευνας από την ερευνητή ασφάλειας Jamila Kaya και την Duo Security της Cisco, η οποία αποκάλυψε 70 επεκτάσεις Chrome με περισσότερες από 1,7 εκατομμύρια εγκαταστάσεις.
Με την κοινή χρήση της ανακάλυψης με την Google, η εταιρεία συνέχισε και εντόπισε άλλες 430 προβληματικές επεκτάσεις του προγράμματος περιήγησης, οι οποίες έκτοτε απενεργοποιήθηκαν.
“Η προβολή της κακομεταχείρισης ως φορέα επίθεσης θα συνεχίσει να αυξάνεται όσο η διαφήμιση που βασίζεται στην παρακολούθηση παραμένει πανταχού παρούσα και ιδιαίτερα εάν οι χρήστες παραμένουν ανεπαρκώς προστατευμένοι από τους μηχανισμούς προστασίας”, δήλωσε ο Jacob Rickerd της Kaya και του Duo Security στην έκθεση.
Μια καλοσχεδιασμένη καμπάνια malvertising
Χρησιμοποιώντας το εργαλείο αξιολόγησης επέκτασης ασφαλείας του Chrome της Duo Security – το οποίο ονομάζεται CRXcavator – οι ερευνητές ήταν σε θέση να διαπιστώσουν ότι τα plugins του προγράμματος περιήγησης, λειτουργούσαν μέσω της κρυφής σύνδεσης των πελατών του προγράμματος περιήγησης, με έναν διακομιστή εντολών και ελέγχου (C2) ελεγχόμενο από εισβολέα, που επέτρεψε την αποστολή δεδομένων περιήγησης χωρίς τη γνώση των χρηστών.
Οι επεκτάσεις, οι οποίες λειτουργούσαν με το πρόσχημα των προωθητικών ενεργειών και των διαφημιστικών υπηρεσιών, είχαν σχεδόν ίδιο κωδικό πηγής, αλλά διέφεραν στα ονόματα των λειτουργιών, παρακάμπτοντας έτσι τους μηχανισμούς ανίχνευσης του Chrome Web Store.
Οι 500 αυτές επεκτάσεις είναι οι εξής:
Εκτός από την απαίτηση εκτεταμένων δικαιωμάτων που επέτρεψαν την πρόσβαση των plugins στο πρόχειρο και σε όλα τα cookies που ήταν αποθηκευμένα τοπικά στο πρόγραμμα περιήγησης, συνδέονταν περιοδικά σ’ έναν τομέα που μοιράστηκε το ίδιο όνομα με το plugin (π.χ. Mapstrekcom, ArcadeYumcom) για να ελέγξει για οδηγίες σχετικά με τη λήψη, στην περίπτωση που απεγκατασταθούν από το πρόγραμμα περιήγησης.
Κατά την αρχική επαφή με τον ιστότοπο, τα πρόσθετα εγκαθηστούσαν στον σκληρό ένα κωδικοποιημένο τομέα C2 – π.χ. DTSINCEcom – για να περιμένουν περισσότερες εντολές, τις τοποθεσίες για τη μεταφόρτωση δεδομένων του χρήστη και να λαμβάνουν ενημερωμένες λίστες κακόβουλων διαφημίσεων και τομέων ανακατεύθυνσης, ώστε να μπορεί ν’ ανακατευθύνει τις περιόδους περιήγησης των χρηστών σε ένα συνδυασμό νόμιμων ιστότοπων και τοποθεσιών ηλεκτρονικού “ψαρέματος”.
“Ένα μεγάλο μέρος αυτών είναι καλοήθη διαφημιστικά ρεύματα, οδηγώντας σε διαφημίσεις όπως η Macy’s, η Dell ή η Best Buy,” αναφέρει η έκθεση. “Ορισμένες από αυτές τις διαφημίσεις θα μπορούσαν να θεωρηθούν νόμιμες, ωστόσο, το 60 έως 70 τοις εκατό του χρόνου που εμφανίζεται μια ανακατεύθυνση, οι ροές διαφημίσεων αναφέρονται σε κακόβουλο ιστότοπο.”
[signoff]
Πηγή: https://thehackernews.com/
