The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В результате фишинга получен контроль ещё над 6 дополнениями к Chrome

16.08.2017 14:20

В ходе фиксируемой в Сети фишинг-атаки злоумышленникам удалось получить контроль ещё над шестью дополнениями к Chrome - Chrometana (644 тысячи пользователей), Infinity New Tab (439 тысяч пользователей), Web Paint (52 тысячи пользователей), Social Fixer (180 тысяч пользователей), TouchVPN (1 млн пользователей) и Betternet VPN (1.3 млн пользователей). Таким образом, за время проведения фишинг-атаки злоумышленникам удалось получить контроль над дополнениями с суммарной аудиторией более 4.8 млн пользователей.

Метод захвата аналогичен ранее раскрытым атакам на дополнения Copyfish и Web Developer, и также вызван невнимательным отношением разработчиков при открытии писем, написанных от лица администрации каталога Chrome App Store. После того как разработчики по недосмотру вводили свои параметры авторизации в подставной форме входа в сервисы Google, пытаясь просмотреть детали о якобы выявленной в дополнении проблеме, злоумышленники получали доступ к учётной записи и выпускали новый выпуск дополнения, в который встраивали вредоносный код, отображающий навязчивые рекламные блоки и перехватывающий параметры доступа к сети доставки контента Cloudflare.

Суть работы добавляемого злоумышленниками кода сводится к ожиданию как минимум 10 минут после установки или обновления дополнения, после чего с внешнего сервера осуществляется загрузка JavaScript-файла с основным вредоносным кодом. Интересно, что для обхода блокировки по маске имя домена для загрузки кода выбирается путём вычисления MD5-хэша от текущего дня месяца и года ("wd" + md5(day + '-' + month + '-' + year) + ".win");

Загруженный код пытается перехватить параметры авторизации к Cloudflare и заменяет блоки популярных рекламных сетей на баннеры злоумышленников. Отдельно используется большой набор правил для замены рекламы на различных порносайтах и независящие от рекламной сети правила типовой замены для 33 наиболее популярных размеров баннеров (468x60, 728x90 и т.п.). Кроме замены рекламы осуществляется вывод всплывающих окон с фиктивной информацией о проблемах, перенаправляющих пользователя на сайты, участвующие в различных партнёрских программах.

  1. Главная ссылка к новости (https://www.proofpoint.com/us/...)
  2. OpenNews: Злоумышленники получили контроль над Chrome-дополнением с миллионной аудиторией
  3. OpenNews: Фишинг-атака по захвату браузерных дополнений для встраивания в них вредоносного кода
  4. OpenNews: Новый метод фишинга с использованием unicode-символов в домене
  5. OpenNews: Уязвимость, позволяющая отобразить иной домен в адресной строке браузера
  6. OpenNews: Демонстрация неэффективности внедрения в Firefox проверки дополнений по цифровой подписи
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/47035-fishing
Ключевые слова: fishing, chrome
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (34) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 15:04, 16/08/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Вот поэтому я до сих пор не пользуюсь Хромом. В Фаерфоксе дополнения и их разработчики выглядят чуток более надежными. Но статистика атак реально пугает.
     
     
  • 2.2, Аноним (-), 15:06, 16/08/2017 [^] [^^] [^^^] [ответить]  
  • –23 +/
    Файрфокс не настолько популярен, так что средства, затрачиваемые на проворачивание фишинг-атак, не окупятся показами реклам. В супирбизапасном линуксе та же ситуация: вирусописатели не собираются тратить время на 1% десктопа.
     
     
  • 3.4, Аноним (-), 15:09, 16/08/2017 [^] [^^] [^^^] [ответить]  
  • +10 +/
    И в чем проблема? Главное, что вирусов очень мало а по функциональности для большинства задач более чем достаточно.
     
     
  • 4.18, Аноним (-), 16:10, 16/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > И в чем проблема?

    В том, что разработчики не-вирусов тоже зачастую
    > не собираются тратить время на 1% десктопа

     
     
  • 5.67, Алала (?), 18:11, 18/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Между прочим Windows 98 SE на данный момент самая безопасная ОС.
     
  • 3.7, с. баллмер (?), 15:32, 16/08/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Когда же Микрософт урежет бабло этим никчёмным студентам? Ну правда, неграмотные нерадивые дурачки годами твердят свои мантры на… профильных ресурсах. Это же деньги в трубу. Лучше ещё индуса нанять, чтоб ошибки выискивал.

    Уважаемый куратор MS Student (или как там оно у вас правильно называется), поймите, что эта программа приносит только вред. Пожалуйста, опомнитесь — эти средства можно тратить с большей пользой!

     
     
  • 4.12, Аноним (-), 15:45, 16/08/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Агентов Кремля^W Госдепа^W жидорептилоидов^W захватчиков из Нибиру^W^W^W Microsoft

    поищи под кроватью. Там наверняка один затесался.

     
     
  • 5.30, Аноним (-), 17:00, 16/08/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Палишся, раздавальщик M$-флаерков.
     
  • 5.63, Аноним (-), 14:08, 17/08/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    По крайней мере в Edge такой проблемы не могло быть ...
     
     
  • 6.66, 123 (??), 13:28, 18/08/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Меньше дополнений для браузера - меньше проблем. (Нет дополнений - нет проблем).
     
  • 4.23, soarin (ok), 16:25, 16/08/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > неграмотные

    Да ты сам неграмотный. Безопасность не берётся просто так.
    Вот недавние пробивки по thumbnailer

    https://arstechnica.com/information-technology/2016/12/fedora-and-ubuntu-0days
    https://opennet.ru/opennews/art.shtml?num=46885

    Первая вообще крута совместно с хромиумом (который по дефолту файлы скачивает). Вторая - сказачная глупость кодеров.

    Но принцип неуловимого Джо работает на полную катушку - есть такое.

     
  • 3.8, User (??), 15:32, 16/08/2017 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Вот по этой причине я не особо поддерживаю популяризацию линукс десктопа.
     
     
  • 4.15, Lain_13 (ok), 15:53, 16/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Не беспокойся, всегда же можно перейти на OpenBSD.
     
  • 4.53, Аноним (-), 20:34, 16/08/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А на сервера вирусопейсателям, ВНЕЗАПНО, наклаксть с прибором?
    Вот это поворот!
     
     
  • 5.57, soarin (ok), 05:08, 17/08/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А на сервера вирусопейсателям, ВНЕЗАПНО, наклаксть с прибором?

    Нет. И там вполне достаточно всяких червей.
    Какой-нибудь незакрытый 1-day - это обычное дело в современном интернете. Апдейты ставят далеко не все.
    Ну а уж про брутфорс ssh думаю рассказывать не надо. Можешь сам соорудить ханипот с открытым ssh, а потом посмотреть какая полезная нагрузка там будет. И для армов и для x86 ой архитектуры.

    А под десктопными линуксами по моему вообще что-то раз в истории было стоящее, спасибо фурифоксу.
    https://blog.mozilla.org/security/2015/08/06/firefox-exploit-found-in-the-wild

     
  • 3.62, torvn77 (ok), 13:27, 17/08/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А 99% серверов им значит не нужно :))
     
  • 2.24, soarin (ok), 16:30, 16/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > В Фаерфоксе дополнения и их разработчики выглядят чуток более надежными.

    Ну я бы не сказал. Хотя сейчас с падением его рыночной доли, такие случаи будет реже.
    А так достаточно было случаев, когда покупали расширения у авторов, а потом выпускали апдейт с "полезной" начинкой.
    https://xakep.ru/2013/01/14/59936/
    https://forum.mozilla-russia.org/viewtopic.php?id=58209

     
  • 2.55, Аноним (-), 23:40, 16/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > В Фаерфоксе дополнения и их разработчики выглядят чуток более надежными.

    Просто до них ещё очередь не дошла. А так процентов 70 дополнений — те же самые.

     
  • 2.58, iPony (?), 06:35, 17/08/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > В Фаерфоксе дополнения и их разработчики выглядят чуток более надежными

    И да, самое смешное и очевидное.
    Какбэ у трёх из шести дополнений в новости есть версия для фаерфокс.
    И ясно дело, что их те же люди делают.

     
  • 2.59, ryoken (ok), 07:12, 17/08/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Вот поэтому я до сих пор не пользуюсь Хромом.

    +1 причина к этому же. Какое-то адское клювопрощелканство просто.

     

  • 1.3, qwerty_qwert1 (?), 15:07, 16/08/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ну тоесть, надо настроить систему банеро-крутилок, подтянуть банеро-партнеров.
    А потом ломануть и перенаправить.

    И что из этого сложнее это большой вопрос.

     
     
  • 2.51, Аноним (-), 18:43, 16/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну тоесть, надо настроить систему банеро-крутилок, подтянуть банеро-партнеров.
    > А потом ломануть и перенаправить.
    > И что из этого сложнее это большой вопрос.

    Мне вот интересно, почему именно баннеры, а не какие-нибудь коины в фоне, как в тех же хакнутых рутерах? Ведь ЖСники в каждой новости о v8 твердят, что оно теперь вообще зашибись какое быстрое и идёт чуть ли не на уровне с сишкой (разве что памяти потребляет пока немного больше). Неужто не додумались?

     
     
  • 3.54, анонимс (?), 23:38, 16/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что жор процессора люди заметят и начнут искать.
    Кроме того, сейчас уже и майнинг на топовых видеокартах как-то окупается только в странах с дешёвым электричеством, а в других нет. Соответственно, майнить на чём-то менее мощном - просто греть воздух без результата.
     
     
  • 4.56, Аноним (-), 00:56, 17/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Потому что жор процессора люди заметят и начнут искать.

    Я же говорю - в фоне. 10-20% в современном, "тяжелом" вебе вряд ли кого-то насторожат ;)

    > Кроме того, сейчас уже и майнинг на топовых видеокартах как-то окупается только
    > в странах с дешёвым электричеством, а в других нет. Соответственно, майнить
    > на чём-то менее мощном - просто греть воздух без результата.

    Так ведь электричество майнеров "бесплатное" для распространителей дополнения.
    Да и в сумме - неужели миллион пользователей на 10% (т.е. грубо округлим до сотни тысяч с полной загрузкой) хуже пары-тройки топовых карт?


     

  • 1.11, Аноним (-), 15:44, 16/08/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    с суммарной аудиторией более 4.8 млн пользователей.
    То что многи могли использовать и то  и другое дополнение никого конечно же не волнует. Сложив просмотры всех видео на youtube высняется, что его смотрят по всей галактике
     
     
  • 2.20, Аноним (-), 16:14, 16/08/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Чо, не окупился твой фишинг? Ну и страдай теперь.
     
  • 2.32, Аноним (-), 17:04, 16/08/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вы прослушали успокоительный аутотренинг от вэбмакаки.
     

  • 1.28, Kuromi (?), 16:53, 16/08/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не могу поднять одной вещи. Еще в прошлом посте на туже тему вроде было внятно сказано, что все эти разработчики - ССЗБ, не пользовались двухфакторной аутентификацией ни в какой форме (ни софтиной на андроид ни аппаратным U2F токеном). Выходит, никаких выводов не сделано?
     
     
  • 2.33, Аноним (-), 17:06, 16/08/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Ты видел хоть одну вэбмакаку, делающую выводы?
     
  • 2.68, Аноним (-), 17:15, 20/08/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вы не врубаетесь. Если юзер вбивает свой пароль в левую форму, он и токен 2ФА введет туда же.
    Проблема в том, что люди являются людьми и не являются машинами. Даже программисты.
     
     
  • 3.69, Led (ok), 17:51, 20/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Проблема в том, что люди являются людьми и не являются машинами. Даже программисты.

    Согласен. Но этот трэд не о людях-програмистах, а о вэб-макаках.

     

  • 1.29, Аноним (-), 16:57, 16/08/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Меня больше волнует факт лечения. Ну вот я заразился, вижу,что лезет реклама. Куда копать, что удалять?
     
     
  • 2.49, Lain_13 (ok), 18:33, 16/08/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если у тебя одно из таких расширений — просто удали оное.
    Если что-то иное, то тут уже зависти от твоей ОС. Если Винда, то попробуй AdwCleaner и Malwarebytes. Если Линукс или ещё что-то иное, то ничего не трогай — десктопная малварь под линукс находится на грани вымирания и крайне ранима. Порой помирает даже от банальной перезагрузки системы.
     
  • 2.60, ryoken (ok), 07:15, 17/08/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Куда копать, что удалять?

    Очевидно - удалять Хром. (Возможно и Хромиум, если он стоит).

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру