The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

16.08.2017 14:20  В результате фишинга получен контроль ещё над 6 дополнениями к Chrome

В ходе фиксируемой в Сети фишинг-атаки злоумышленникам удалось получить контроль ещё над шестью дополнениями к Chrome - Chrometana (644 тысячи пользователей), Infinity New Tab (439 тысяч пользователей), Web Paint (52 тысячи пользователей), Social Fixer (180 тысяч пользователей), TouchVPN (1 млн пользователей) и Betternet VPN (1.3 млн пользователей). Таким образом, за время проведения фишинг-атаки злоумышленникам удалось получить контроль над дополнениями с суммарной аудиторией более 4.8 млн пользователей.

Метод захвата аналогичен ранее раскрытым атакам на дополнения Copyfish и Web Developer, и также вызван невнимательным отношением разработчиков при открытии писем, написанных от лица администрации каталога Chrome App Store. После того как разработчики по недосмотру вводили свои параметры авторизации в подставной форме входа в сервисы Google, пытаясь просмотреть детали о якобы выявленной в дополнении проблеме, злоумышленники получали доступ к учётной записи и выпускали новый выпуск дополнения, в который встраивали вредоносный код, отображающий навязчивые рекламные блоки и перехватывающий параметры доступа к сети доставки контента Cloudflare.

Суть работы добавляемого злоумышленниками кода сводится к ожиданию как минимум 10 минут после установки или обновления дополнения, после чего с внешнего сервера осуществляется загрузка JavaScript-файла с основным вредоносным кодом. Интересно, что для обхода блокировки по маске имя домена для загрузки кода выбирается путём вычисления MD5-хэша от текущего дня месяца и года ("wd" + md5(day + '-' + month + '-' + year) + ".win");

Загруженный код пытается перехватить параметры авторизации к Cloudflare и заменяет блоки популярных рекламных сетей на баннеры злоумышленников. Отдельно используется большой набор правил для замены рекламы на различных порносайтах и независящие от рекламной сети правила типовой замены для 33 наиболее популярных размеров баннеров (468x60, 728x90 и т.п.). Кроме замены рекламы осуществляется вывод всплывающих окон с фиктивной информацией о проблемах, перенаправляющих пользователя на сайты, участвующие в различных партнёрских программах.

  1. Главная ссылка к новости (https://www.proofpoint.com/us/...)
  2. OpenNews: Злоумышленники получили контроль над Chrome-дополнением с миллионной аудиторией
  3. OpenNews: Фишинг-атака по захвату браузерных дополнений для встраивания в них вредоносного кода
  4. OpenNews: Новый метод фишинга с использованием unicode-символов в домене
  5. OpenNews: Уязвимость, позволяющая отобразить иной домен в адресной строке браузера
  6. OpenNews: Демонстрация неэффективности внедрения в Firefox проверки дополнений по цифровой подписи
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: fishing, chrome
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 15:04, 16/08/2017 [ответить] [смотреть все]
  • +7 +/
    Вот поэтому я до сих пор не пользуюсь Хромом. В Фаерфоксе дополнения и их разработчики выглядят чуток более надежными. Но статистика атак реально пугает.
     
     
  • 2.2, Аноним, 15:06, 16/08/2017 [^] [ответить] [смотреть все] [показать ветку]
  • –24 +/
    Файрфокс не настолько популярен, так что средства, затрачиваемые на проворачиван... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.4, Аноним, 15:09, 16/08/2017 [^] [ответить] [смотреть все]  
  • +10 +/
    И в чем проблема? Главное, что вирусов очень мало а по функциональности для большинства задач более чем достаточно.
     
     
  • 4.18, Аноним, 16:10, 16/08/2017 [^] [ответить] [смотреть все]  
  • +/
    В том, что разработчики не-вирусов тоже зачастую ... весь текст скрыт [показать]
     
     
  • 5.67, Алала, 18:11, 18/08/2017 [^] [ответить] [смотреть все]  
  • +/
    Между прочим Windows 98 SE на данный момент самая безопасная ОС.
     
  • 3.7, с. баллмер, 15:32, 16/08/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Когда же Микрософт урежет бабло этим никчёмным студентам Ну правда, неграмотные... весь текст скрыт [показать]
     
     
  • 4.12, Аноним, 15:45, 16/08/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Агентов Кремля W Госдепа W жидорептилоидов W захватчиков из Нибиру W W W Microso... весь текст скрыт [показать]
     
     
  • 5.30, Аноним, 17:00, 16/08/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Палишся, раздавальщик M$-флаерков.
     
  • 5.63, Аноним, 14:08, 17/08/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    По крайней мере в Edge такой проблемы не могло быть ...
     
     
  • 6.66, 123, 13:28, 18/08/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Меньше дополнений для браузера - меньше проблем Нет дополнений - нет проблем ... весь текст скрыт [показать]
     
  • 4.23, soarin, 16:25, 16/08/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Да ты сам неграмотный Безопасность не берётся просто так Вот недавние пробивки... весь текст скрыт [показать]
     
  • 3.8, User, 15:32, 16/08/2017 [^] [ответить] [смотреть все]  
  • –4 +/
    Вот по этой причине я не особо поддерживаю популяризацию линукс десктопа.
     
     
  • 4.15, Lain_13, 15:53, 16/08/2017 [^] [ответить] [смотреть все]  
  • +/
    Не беспокойся, всегда же можно перейти на OpenBSD.
     
  • 4.53, Аноним, 20:34, 16/08/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    А на сервера вирусопейсателям, ВНЕЗАПНО, наклаксть с прибором Вот это поворот ... весь текст скрыт [показать]
     
     
  • 5.57, soarin, 05:08, 17/08/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Нет И там вполне достаточно всяких червей Какой-нибудь незакрытый 1-day - это ... весь текст скрыт [показать]
     
  • 3.62, torvn77, 13:27, 17/08/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    А 99% серверов им значит не нужно :))
     
  • 2.24, soarin, 16:30, 16/08/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну я бы не сказал Хотя сейчас с падением его рыночной доли, такие случаи будет ... весь текст скрыт [показать] [показать ветку]
     
  • 2.55, Аноним, 23:40, 16/08/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Просто до них ещё очередь не дошла А так процентов 70 дополнений 8212 те же ... весь текст скрыт [показать] [показать ветку]
     
  • 2.58, iPony, 06:35, 17/08/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    И да, самое смешное и очевидное Какбэ у трёх из шести дополнений в новости есть... весь текст скрыт [показать] [показать ветку]
     
  • 2.59, ryoken, 07:12, 17/08/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    1 причина к этому же Какое-то адское клювопрощелканство просто ... весь текст скрыт [показать] [показать ветку]
     
  • 1.3, qwerty_qwert1, 15:07, 16/08/2017 [ответить] [смотреть все]  
  • +1 +/
    Ну тоесть, надо настроить систему банеро-крутилок, подтянуть банеро-партнеров.
    А потом ломануть и перенаправить.

    И что из этого сложнее это большой вопрос.

     
     
  • 2.51, Аноним, 18:43, 16/08/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Мне вот интересно, почему именно баннеры, а не какие-нибудь коины в фоне, как в ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.54, анонимс, 23:38, 16/08/2017 [^] [ответить] [смотреть все]  
  • +/
    Потому что жор процессора люди заметят и начнут искать Кроме того, сейчас уже и... весь текст скрыт [показать]
     
     
  • 4.56, Аноним, 00:56, 17/08/2017 [^] [ответить] [смотреть все]  
  • +/
    Я же говорю - в фоне 10-20 в современном, тяжелом вебе вряд ли кого-то насто... весь текст скрыт [показать]
     
  • 1.11, Аноним, 15:44, 16/08/2017 [ответить] [смотреть все]  
  • +2 +/
    с суммарной аудиторией более 4 8 млн пользователей То что многи могли использов... весь текст скрыт [показать]
     
     
  • 2.20, Аноним, 16:14, 16/08/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Чо, не окупился твой фишинг? Ну и страдай теперь.
     
  • 2.32, Аноним, 17:04, 16/08/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Вы прослушали успокоительный аутотренинг от вэбмакаки.
     
  • 1.28, Kuromi, 16:53, 16/08/2017 [ответить] [смотреть все]  
  • +/
    Не могу поднять одной вещи. Еще в прошлом посте на туже тему вроде было внятно сказано, что все эти разработчики - ССЗБ, не пользовались двухфакторной аутентификацией ни в какой форме (ни софтиной на андроид ни аппаратным U2F токеном). Выходит, никаких выводов не сделано?
     
     
  • 2.33, Аноним, 17:06, 16/08/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    Ты видел хоть одну вэбмакаку, делающую выводы?
     
  • 2.68, Аноним, 17:15, 20/08/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вы не врубаетесь Если юзер вбивает свой пароль в левую форму, он и токен 2ФА вв... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.69, Led, 17:51, 20/08/2017 [^] [ответить] [смотреть все]  
  • +/
    Согласен Но этот трэд не о людях-програмистах, а о вэб-макаках ... весь текст скрыт [показать]
     
  • 1.29, Аноним, 16:57, 16/08/2017 [ответить] [смотреть все]  
  • +/
    Меня больше волнует факт лечения Ну вот я заразился, вижу,что лезет реклама Ку... весь текст скрыт [показать]
     
     
  • 2.49, Lain_13, 18:33, 16/08/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Если у тебя одно из таких расширений 8212 просто удали оное Если что-то иное... весь текст скрыт [показать] [показать ветку]
     
  • 2.60, ryoken, 07:15, 17/08/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Очевидно - удалять Хром Возможно и Хромиум, если он стоит ... весь текст скрыт [показать] [показать ветку]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor