Google премахна близо 90 зловредни разширения от Chrome Web Store
Компанията за осведомителна сигурност и интернет отбрана Trend Micro разкриха нови офанзиви към потребителите на Гугъл Chrome. Става дума за зловредна стратегия, интегрирана в голям брой разширения за браузъра, която инфектира системите, организирайки ги в ботнет мрежа. Програмата пренасочвала жертвите към нежелана и зловредна реклама, за кражба на данни и копаене на криптовалута.
Основният вектор на разпространяване е бил посредством малвъртайзинг офанзиви (доставяне на зловредна реклама). Когато потребителите попадали на страница или реклама, направена от нарушителите, те били подканяни да смъкват приставка за браузъра. Бдителността на жертвата била приспивана от това, че кликайки върху известието те били отвеждани към действителния магазин на Chrome. Името на опасността, която дават Trend Micro на програмата е Droidclub. Те са я разкрили в 89 разширения в Chrome Web Store, уведомили са Гугъл и разширенията са били отстранени. Освен това са се свързали с Cloudflare за деактвиране на командната инфраструктура на незаконната мрежа. По калкулации на компанията, засегнатите консуматори са над 400 000 – 423 992.
Авторите на офанзивите компрометирали законни session replay библиотеки, инжектирали код в страниците, които потребителя посещава и записвали данните, които той вписва в тях. Понастоящем зловредната активност на програмата се заключава главно към пренасочването на браузъра към реклами, което обезпечава приход на нарушителите. Заедно с това, друга версия влага код, свързващ се към Coinhive за рандеман на Monero.
Droidclub не е лесна за унищожаване опасност. Ако жертвата реши да рапортува разширението на Гугъл, тя бива отвеждана просто към страницата му в Chrome Web Store, а в случай че се опита да я деинсталира от браузъра, се отваря страница, която имитира прозореца с разширения за браузъра му, подлъгвайки го, че е съумял да я отстрани.
Основният вектор на разпространяване е бил посредством малвъртайзинг офанзиви (доставяне на зловредна реклама). Когато потребителите попадали на страница или реклама, направена от нарушителите, те били подканяни да смъкват приставка за браузъра. Бдителността на жертвата била приспивана от това, че кликайки върху известието те били отвеждани към действителния магазин на Chrome. Името на опасността, която дават Trend Micro на програмата е Droidclub. Те са я разкрили в 89 разширения в Chrome Web Store, уведомили са Гугъл и разширенията са били отстранени. Освен това са се свързали с Cloudflare за деактвиране на командната инфраструктура на незаконната мрежа. По калкулации на компанията, засегнатите консуматори са над 400 000 – 423 992.
Авторите на офанзивите компрометирали законни session replay библиотеки, инжектирали код в страниците, които потребителя посещава и записвали данните, които той вписва в тях. Понастоящем зловредната активност на програмата се заключава главно към пренасочването на браузъра към реклами, което обезпечава приход на нарушителите. Заедно с това, друга версия влага код, свързващ се към Coinhive за рандеман на Monero.
Droidclub не е лесна за унищожаване опасност. Ако жертвата реши да рапортува разширението на Гугъл, тя бива отвеждана просто към страницата му в Chrome Web Store, а в случай че се опита да я деинсталира от браузъра, се отваря страница, която имитира прозореца с разширения за браузъра му, подлъгвайки го, че е съумял да я отстрани.
Източник: kaldata.com
КОМЕНТАРИ