The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

16.08.2017 14:20  В результате фишинга получен контроль ещё над 6 дополнениями к Chrome

В ходе фиксируемой в Сети фишинг-атаки злоумышленникам удалось получить контроль ещё над шестью дополнениями к Chrome - Chrometana (644 тысячи пользователей), Infinity New Tab (439 тысяч пользователей), Web Paint (52 тысячи пользователей), Social Fixer (180 тысяч пользователей), TouchVPN (1 млн пользователей) и Betternet VPN (1.3 млн пользователей). Таким образом, за время проведения фишинг-атаки злоумышленникам удалось получить контроль над дополнениями с суммарной аудиторией более 4.8 млн пользователей.

Метод захвата аналогичен ранее раскрытым атакам на дополнения Copyfish и Web Developer, и также вызван невнимательным отношением разработчиков при открытии писем, написанных от лица администрации каталога Chrome App Store. После того как разработчики по недосмотру вводили свои параметры авторизации в подставной форме входа в сервисы Google, пытаясь просмотреть детали о якобы выявленной в дополнении проблеме, злоумышленники получали доступ к учётной записи и выпускали новый выпуск дополнения, в который встраивали вредоносный код, отображающий навязчивые рекламные блоки и перехватывающий параметры доступа к сети доставки контента Cloudflare.

Суть работы добавляемого злоумышленниками кода сводится к ожиданию как минимум 10 минут после установки или обновления дополнения, после чего с внешнего сервера осуществляется загрузка JavaScript-файла с основным вредоносным кодом. Интересно, что для обхода блокировки по маске имя домена для загрузки кода выбирается путём вычисления MD5-хэша от текущего дня месяца и года ("wd" + md5(day + '-' + month + '-' + year) + ".win");

Загруженный код пытается перехватить параметры авторизации к Cloudflare и заменяет блоки популярных рекламных сетей на баннеры злоумышленников. Отдельно используется большой набор правил для замены рекламы на различных порносайтах и независящие от рекламной сети правила типовой замены для 33 наиболее популярных размеров баннеров (468x60, 728x90 и т.п.). Кроме замены рекламы осуществляется вывод всплывающих окон с фиктивной информацией о проблемах, перенаправляющих пользователя на сайты, участвующие в различных партнёрских программах.

  1. Главная ссылка к новости (https://www.proofpoint.com/us/...)
  2. OpenNews: Злоумышленники получили контроль над Chrome-дополнением с миллионной аудиторией
  3. OpenNews: Фишинг-атака по захвату браузерных дополнений для встраивания в них вредоносного кода
  4. OpenNews: Новый метод фишинга с использованием unicode-символов в домене
  5. OpenNews: Уязвимость, позволяющая отобразить иной домен в адресной строке браузера
  6. OpenNews: Демонстрация неэффективности внедрения в Firefox проверки дополнений по цифровой подписи
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: fishing, chrome
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 15:04, 16/08/2017 [ответить] [показать ветку] [···]    [к модератору]
  • +8 +/
    Вот поэтому я до сих пор не пользуюсь Хромом. В Фаерфоксе дополнения и их разработчики выглядят чуток более надежными. Но статистика атак реально пугает.
     
     
  • 2.2, Аноним (-), 15:06, 16/08/2017 [^] [ответить]     [к модератору]
  • –23 +/
    Файрфокс не настолько популярен, так что средства, затрачиваемые на проворачиван... весь текст скрыт [показать]
     
     
  • 3.4, Аноним (-), 15:09, 16/08/2017 [^] [ответить]    [к модератору]  
  • +10 +/
    И в чем проблема? Главное, что вирусов очень мало а по функциональности для большинства задач более чем достаточно.
     
     
  • 4.18, Аноним (-), 16:10, 16/08/2017 [^] [ответить]    [к модератору]  
  • +/
    > И в чем проблема?

    В том, что разработчики не-вирусов тоже зачастую
    > не собираются тратить время на 1% десктопа

     
     
  • 5.67, Алала (?), 18:11, 18/08/2017 [^] [ответить]    [к модератору]  
  • +/
    Между прочим Windows 98 SE на данный момент самая безопасная ОС.
     
  • 3.7, с. баллмер (?), 15:32, 16/08/2017 [^] [ответить]     [к модератору]  
  • +3 +/
    Когда же Микрософт урежет бабло этим никчёмным студентам Ну правда, неграмотные... весь текст скрыт [показать]
     
     
  • 4.12, Аноним (-), 15:45, 16/08/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Агентов Кремля^W Госдепа^W жидорептилоидов^W захватчиков из Нибиру^W^W^W Microsoft

    поищи под кроватью. Там наверняка один затесался.

     
     
  • 5.30, Аноним (-), 17:00, 16/08/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    Палишся, раздавальщик M$-флаерков.
     
  • 5.63, Аноним (-), 14:08, 17/08/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    По крайней мере в Edge такой проблемы не могло быть ...
     
     
  • 6.66, 123 (??), 13:28, 18/08/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Меньше дополнений для браузера - меньше проблем. (Нет дополнений - нет проблем).
     
  • 4.23, soarin (ok), 16:25, 16/08/2017 [^] [ответить]     [к модератору]  
  • –2 +/
    Да ты сам неграмотный Безопасность не берётся просто так Вот недавние пробивки... весь текст скрыт [показать]
     
  • 3.8, User (??), 15:32, 16/08/2017 [^] [ответить]    [к модератору]  
  • –4 +/
    Вот по этой причине я не особо поддерживаю популяризацию линукс десктопа.
     
     
  • 4.15, Lain_13 (ok), 15:53, 16/08/2017 [^] [ответить]    [к модератору]  
  • +/
    Не беспокойся, всегда же можно перейти на OpenBSD.
     
  • 4.53, Аноним (-), 20:34, 16/08/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    А на сервера вирусопейсателям, ВНЕЗАПНО, наклаксть с прибором?
    Вот это поворот!
     
     
  • 5.57, soarin (ok), 05:08, 17/08/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    Нет И там вполне достаточно всяких червей Какой-нибудь незакрытый 1-day - это ... весь текст скрыт [показать]
     
  • 3.62, torvn77 (ok), 13:27, 17/08/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    А 99% серверов им значит не нужно :))
     
  • 2.24, soarin (ok), 16:30, 16/08/2017 [^] [ответить]     [к модератору]  
  • +/
    Ну я бы не сказал Хотя сейчас с падением его рыночной доли, такие случаи будет ... весь текст скрыт [показать]
     
  • 2.55, Аноним (-), 23:40, 16/08/2017 [^] [ответить]    [к модератору]  
  • +/
    > В Фаерфоксе дополнения и их разработчики выглядят чуток более надежными.

    Просто до них ещё очередь не дошла. А так процентов 70 дополнений — те же самые.

     
  • 2.58, iPony (?), 06:35, 17/08/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    И да, самое смешное и очевидное Какбэ у трёх из шести дополнений в новости есть... весь текст скрыт [показать]
     
  • 2.59, ryoken (ok), 07:12, 17/08/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > Вот поэтому я до сих пор не пользуюсь Хромом.

    +1 причина к этому же. Какое-то адское клювопрощелканство просто.

     
  • 1.3, qwerty_qwert1 (?), 15:07, 16/08/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Ну тоесть, надо настроить систему банеро-крутилок, подтянуть банеро-партнеров.
    А потом ломануть и перенаправить.

    И что из этого сложнее это большой вопрос.

     
     
  • 2.51, Аноним (-), 18:43, 16/08/2017 [^] [ответить]     [к модератору]  
  • +/
    Мне вот интересно, почему именно баннеры, а не какие-нибудь коины в фоне, как в ... весь текст скрыт [показать]
     
     
  • 3.54, анонимс (?), 23:38, 16/08/2017 [^] [ответить]     [к модератору]  
  • +/
    Потому что жор процессора люди заметят и начнут искать Кроме того, сейчас уже и... весь текст скрыт [показать]
     
     
  • 4.56, Аноним (-), 00:56, 17/08/2017 [^] [ответить]     [к модератору]  
  • +/
    Я же говорю - в фоне 10-20 в современном, тяжелом вебе вряд ли кого-то насто... весь текст скрыт [показать]
     
  • 1.11, Аноним (-), 15:44, 16/08/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • +2 +/
    с суммарной аудиторией более 4 8 млн пользователей То что многи могли использов... весь текст скрыт [показать]
     
     
  • 2.20, Аноним (-), 16:14, 16/08/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    Чо, не окупился твой фишинг? Ну и страдай теперь.
     
  • 2.32, Аноним (-), 17:04, 16/08/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    Вы прослушали успокоительный аутотренинг от вэбмакаки.
     
  • 1.28, Kuromi (?), 16:53, 16/08/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Не могу поднять одной вещи. Еще в прошлом посте на туже тему вроде было внятно сказано, что все эти разработчики - ССЗБ, не пользовались двухфакторной аутентификацией ни в какой форме (ни софтиной на андроид ни аппаратным U2F токеном). Выходит, никаких выводов не сделано?
     
     
  • 2.33, Аноним (-), 17:06, 16/08/2017 [^] [ответить]    [к модератору]  
  • +5 +/
    Ты видел хоть одну вэбмакаку, делающую выводы?
     
  • 2.68, Аноним (-), 17:15, 20/08/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Вы не врубаетесь. Если юзер вбивает свой пароль в левую форму, он и токен 2ФА введет туда же.
    Проблема в том, что люди являются людьми и не являются машинами. Даже программисты.
     
     
  • 3.69, Led (ok), 17:51, 20/08/2017 [^] [ответить]    [к модератору]  
  • +/
    > Проблема в том, что люди являются людьми и не являются машинами. Даже программисты.

    Согласен. Но этот трэд не о людях-програмистах, а о вэб-макаках.

     
  • 1.29, Аноним (-), 16:57, 16/08/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Меня больше волнует факт лечения. Ну вот я заразился, вижу,что лезет реклама. Куда копать, что удалять?
     
     
  • 2.49, Lain_13 (ok), 18:33, 16/08/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Если у тебя одно из таких расширений 8212 просто удали оное Если что-то иное... весь текст скрыт [показать]
     
  • 2.60, ryoken (ok), 07:15, 17/08/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    > Куда копать, что удалять?

    Очевидно - удалять Хром. (Возможно и Хромиум, если он стоит).

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor