Масово разпространение на шпиониращи вируси в магазина на Mozilla
В каталога за разширения за Firefox (АМО) стартира всеобща обява на вредоносни допълнения, прикриващи се като известни планове. Така да вземем за пример, в каталога се виждат Adobe Flash Player, ublock origin Pro, Adblock Flash Player и така нататък, които в действителност за рискови шпиониращи вируси.
След изтриването на тези и сходните разширения злоумишлениците незабавно основават нов акаунт и още веднъж качват същите вирусни разширения. Така да вземем за пример, преди няколко часа бе основан акаунта Firefox user 15018635 , в който са качени разширенията Youtube Adblock,Ublock plus, Adblock Plus 2019. По всичко проличава, че хакерите се пробват да качат колкото се може по-нагоре своите разширения в резултатите, давани от търсачката. В това има смисъл, тъй като вирусните обновявания до момента напълно елементарно се разпознаваха по това, че нямат лайкове, мнения и търсения.
При инсталирането на сходно уголемение се желае достъп до всички данни на посещаваните уеб уеб сайтове. Стартира се кейлогър, който предава всички данни от натиснатите бутони на клавиатурата към хоста theridgeatdanbury.com. Там се изпращат и данните за запълваните антетки и конфигурираните Cookie. Имената на инсталационните файлове са във тип „adpbe_flash_player-*.xpi“ или „player_downloader-*.xpi“. Кодът в самите допълнения е изменен напълно нищожно, а вградените вредоносни команди са явни и не се крият по никакъв метод.
Най-вероятно неизползването на каквито и да било техники за скриване на вредоносната интензивност и пределно опростеният код са съумели да излъжат автоматизираната система за прелиминарен обзор и рецензиране на разширенията. Но е напълно неясно, по какъв начин по този начин тази автоматизирана инспекция е пропуснала напълно явния факт на явно изпращане на данни от съответното уголемение към външен хост.
Да напомним, че съгласно Mozilla инспекцията по дигитален автограф разрешава блокирането и разпространяването на вредоносни и шпиониращи разширения. Някои разработчици на разширения не са съгласни с тази позиция и смятат, че механизмът за наложителна инспекция по дигитален автограф единствено основава затруднения за програмистите и забавя идването на нужните корекции до потребителите, като в това време по никакъв метод не въздейства на сигурността. Налични са редица тривиални и явни способи за заобикаляне на системата за автоматизирана инспекция на разширенията, даващи опция незабележимо да се вмъкне вредоносен код. Показани са и образци. Но позицията на Mozilla се свежда до това, че множеството създатели на сходни разширения са прекомерно мързеливи и няма да употребяват техниките, разказани в образците.
През месец октомври 2017 година в каталога на АМО бе въведен нов метод за инспекция и рецензиране на разширенията. Вместо ръчна инспекция бе стартиран автоматизиран развой, който отстрани дългото очакване за критика на всяко едно уголемение. Ръчната инспекция отново се употребява, само че единствено за някои разширения, за които се смята че има нараснал фактор на риск. Сега стана явно, че ще би трябвало да се направи още нещо.
След изтриването на тези и сходните разширения злоумишлениците незабавно основават нов акаунт и още веднъж качват същите вирусни разширения. Така да вземем за пример, преди няколко часа бе основан акаунта Firefox user 15018635 , в който са качени разширенията Youtube Adblock,Ublock plus, Adblock Plus 2019. По всичко проличава, че хакерите се пробват да качат колкото се може по-нагоре своите разширения в резултатите, давани от търсачката. В това има смисъл, тъй като вирусните обновявания до момента напълно елементарно се разпознаваха по това, че нямат лайкове, мнения и търсения.
При инсталирането на сходно уголемение се желае достъп до всички данни на посещаваните уеб уеб сайтове. Стартира се кейлогър, който предава всички данни от натиснатите бутони на клавиатурата към хоста theridgeatdanbury.com. Там се изпращат и данните за запълваните антетки и конфигурираните Cookie. Имената на инсталационните файлове са във тип „adpbe_flash_player-*.xpi“ или „player_downloader-*.xpi“. Кодът в самите допълнения е изменен напълно нищожно, а вградените вредоносни команди са явни и не се крият по никакъв метод.
Най-вероятно неизползването на каквито и да било техники за скриване на вредоносната интензивност и пределно опростеният код са съумели да излъжат автоматизираната система за прелиминарен обзор и рецензиране на разширенията. Но е напълно неясно, по какъв начин по този начин тази автоматизирана инспекция е пропуснала напълно явния факт на явно изпращане на данни от съответното уголемение към външен хост.
Да напомним, че съгласно Mozilla инспекцията по дигитален автограф разрешава блокирането и разпространяването на вредоносни и шпиониращи разширения. Някои разработчици на разширения не са съгласни с тази позиция и смятат, че механизмът за наложителна инспекция по дигитален автограф единствено основава затруднения за програмистите и забавя идването на нужните корекции до потребителите, като в това време по никакъв метод не въздейства на сигурността. Налични са редица тривиални и явни способи за заобикаляне на системата за автоматизирана инспекция на разширенията, даващи опция незабележимо да се вмъкне вредоносен код. Показани са и образци. Но позицията на Mozilla се свежда до това, че множеството създатели на сходни разширения са прекомерно мързеливи и няма да употребяват техниките, разказани в образците.
През месец октомври 2017 година в каталога на АМО бе въведен нов метод за инспекция и рецензиране на разширенията. Вместо ръчна инспекция бе стартиран автоматизиран развой, който отстрани дългото очакване за критика на всяко едно уголемение. Ръчната инспекция отново се употребява, само че единствено за някои разширения, за които се смята че има нараснал фактор на риск. Сега стана явно, че ще би трябвало да се направи още нещо.
Източник: kaldata.com
КОМЕНТАРИ