Różności i nowinki technologia

Jak rozszerzenia przeglądarki Chrome i Edge objęte wsteczną archiwizacją ukryły się na 3 milionach urządzeń użytkowników

Stylizowana ilustracja paska adresu internetowego.

W grudniu Ars poinformował, że aż 3 miliony ludzi zostało zainfekowanych przez rozszerzenia przeglądarki Chrome i Edge, które wykradły dane osobowe i przekierowywały użytkowników na strony reklamowe lub phishingowe. Teraz badacze, którzy odkryli oszustwo, ujawnili, jak długo twórcy rozszerzenia ukryli swoje nikczemne czyny.

Jak wcześniej informowaliśmy, 28 rozszerzeń dostępnych w oficjalnych repozytoriach Google i Microsoft reklamowało się jako sposób pobierania zdjęć, filmów lub innych treści z witryn, w tym Facebook, Instagram, Vimeo i Spotify. Za kulisami gromadzili również daty urodzenia użytkowników, adresy e-mail i informacje o urządzeniach oraz przekierowywali kliknięcia i wyniki wyszukiwania do złośliwych witryn. Google i Microsoft ostatecznie usunęły rozszerzenia.

Naukowcy z praskiej firmy Avast powiedzieli w środę, że twórcy rozszerzenia zastosowali nowatorski sposób na ukrycie złośliwego ruchu przesyłanego między zainfekowanymi urządzeniami a serwerami kontroli i kontroli, z którymi się łączyli. W szczególności rozszerzenia kierowały polecenia do nagłówków ruchu kontrolującego pamięć podręczną, które zostały zakamuflowane, aby wyglądały jako dane związane z Google Analytics, których strony używają do mierzenia interakcji użytkowników.

Odnosząc się do kampanii jako CacheFlow, badacze Avast napisali:

CacheFlow wyróżniał się w szczególności sposobem, w jaki złośliwe rozszerzenia próbowały ukrywać swoje polecenia i kontrolować ruch w ukrytym kanale za pomocą nagłówka HTTP Cache-Control w żądaniach analitycznych. Uważamy, że jest to nowa technika. Ponadto wydaje nam się, że ruch w stylu Google Analytics został dodany nie tylko po to, aby ukryć złośliwe polecenia, ale że autorzy rozszerzenia byli również zainteresowani żądaniami analitycznymi. Uważamy, że próbowali rozwiązać dwa problemy, dowodzenia i kontroli oraz uzyskiwanie informacji analitycznych za pomocą jednego rozwiązania.

Jak wyjaśnił Avast, rozszerzenia wysyłały coś, co wyglądało na standardowe żądania Google Analytics do https: //stats.script-protection[.]com / __ utm.gif. Atakujący serwer odpowiadałby wówczas za pomocą specjalnie uformowanego nagłówka Cache-Control, który klient odszyfrowałby, przeanalizował i wykonał.

Twórcy rozszerzenia zastosowali inne metody, aby zatrzeć ślady, w tym:

  • Unikanie infekowania użytkowników, którzy prawdopodobnie byli programistami lub badaczami stron internetowych. Programiści zrobili to, sprawdzając rozszerzenia, które użytkownicy już zainstalowali, i sprawdzając, czy użytkownik uzyskał dostęp do witryn internetowych hostowanych lokalnie. Ponadto w przypadku wykrycia przez rozszerzenie, że narzędzia programistyczne przeglądarki zostały otwarte, szybko dezaktywowałoby swoją złośliwą funkcjonalność.
  • Czekanie trzy dni po infekcji, aby aktywować złośliwą funkcjonalność
  • Sprawdzanie każdego zapytania w wyszukiwarce Google wykonanego przez użytkownika. Gdyby zapytanie dotyczyło serwera rozszerzeń używanych do dowodzenia i kontroli, rozszerzenia natychmiast zaprzestałyby swojej złośliwej aktywności.

Oto przegląd tego, jak działały rozszerzenia:

Avast

Na podstawie recenzji użytkowników niektórych rozszerzeń wydaje się, że kampania CacheFlow była aktywna od października 2017 r. Avast powiedział, że odkryte przez nią środki mogą wyjaśniać, dlaczego kampania pozostawała niewykryta przez tak długi czas.

Kraje o największej liczbie zainfekowanych użytkowników to Brazylia, Ukraina i Francja.

Avast

W poprzednim raporcie Ars wymieniono nazwy wszystkich 28 rozszerzeń uznanych za złośliwe. Środowe obserwacje dotyczące Avast zawierają dodatkowe wskaźniki zagrożenia, które ludzie mogą sprawdzić, aby sprawdzić, czy zostały zainfekowane.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook