Killarna som är ansvariga webbläsarutveckling Chrome har arbetat med att upprätthålla en "hälsosam" miljö i webbläsartilläggsbutiken och sedan integrationen av Googles nya Manifest V3, olika säkerhetsförändringar har genomförts och framför allt kontroverser som genereras av blockering av API: er som används av många tillägg för att blockera reklam.
Allt detta arbete har sammanfattats i olika resultat, varav blockeringen av ett antal skadliga tillägg avslöjades som hittades i Chrome Store.
I det första steget, den oberoende utredaren Jamila Kaya och företaget Duo Security identifierade en mängd olika Chomre-tillägg som ursprungligen fungerar på ett "legitimt" sätt, men i en djupare analys av koden för dessa upptäcktes operationer som kördes i bakgrunden, varav många extraherade användardata.
Cisco Duo Security släppte CRXcavator, vårt automatiska säkerhetsbedömningsverktyg för Chrome-tillägg, gratis förra året för att minska risken att Chrome-tillägg kommer att presentera för organisationer och låta andra utveckla vår forskning för att skapa ett ekosystem. Av Chrome-tillägg säkrare för alla.
Efter att ha rapporterat problemet till Google, mer än 430 tillägg hittades i katalogen, vars antal installationer inte rapporterades.
Det är anmärkningsvärt att trots det imponerande antalet anläggningar, inga av de problematiska pluginsna har användarrecensioner, vilket ledde till frågor om hur plugins installerades och hur den skadliga aktiviteten inte upptäcktes.
Nu, alla problematiska plugins tas bort från Chrome Web Store. Enligt forskarna har skadlig aktivitet relaterat till blockerade plugins pågått sedan januari 2019, men de enskilda domänerna som användes för att utföra skadliga åtgärder registrerades 2017.
Jamila Kaya använde CRXcavator för att avslöja en storskalig kampanj med copycat Chrome-tillägg som infekterade användare och extraherade data genom felaktig reklam samtidigt som man försökte undvika att upptäcka bedrägerier från Google Chrome. Duo, Jamila och Google arbetade tillsammans för att se till att dessa tillägg och andra liknande hittades och togs bort omedelbart.
De flesta av skadliga tillägg presenterades som verktyg för att marknadsföra produkter och delta i reklamtjänster (användaren ser annonser och får avdrag). Dessutom användes tekniken för omdirigering till annonserade webbplatser när du öppnade sidor som visades i en sträng innan den begärda webbplatsen visades.
Alla plugins använde samma teknik för att dölja skadlig aktivitet och kringgå plugin-verifieringsmekanismerna i Chrome Web Store.
Koden för alla plugins var nästan identisk på källnivå, med undantag för funktionsnamnen som var unika för varje plugin. Den skadliga logiken överfördes från centraliserade hanteringsservrar.
Initialt, pluginet anslutet till en domän som har samma namn som plugin-namnet (till exempel Mapstrek.com), varefter Det omdirigerades till en av hanteringsservrarna som tillhandahöll skriptet för ytterligare åtgärder.
Bland de genomförda åtgärderna genom plugins hitta nedladdning av konfidentiell användardata till en extern server, vidarebefordra till skadliga webbplatser och godkänna installationen av skadliga applikationer (Till exempel visas ett meddelande om datorinfektion och skadlig kod erbjuds under sken av ett antivirusprogram eller en webbläsaruppdatering).
De omdirigerade domänerna inkluderar olika phishing-domäner och webbplatser för att utnyttja föråldrade webbläsare som innehåller okorrigerade sårbarheter (till exempel efter att man utnyttjat försök att installera skadliga program som fångar upp lösenord och analyserar överföring av konfidentiell data via Urklipp).
Om du vill veta mer om anteckningen kan du läsa den ursprungliga publikationen I följande länk.