В четырёх популярных дополнениях к Chrome выявлен вредоносный код

Исследователи из компании ICEBRG выявили четыре дополнения к Google Chrome, в которых присутствовали вредоносные вставки, позволяющие выполнять в браузере произвольный код, загружаемый со сторонних сайтов. Аудитория одного из проблемных дополнений насчитывает 509 тысяч пользователей.

Компания ICEBRG была привлечена для разбора причин появления аномального трафика с рабочих станций одного из клиентов. В результате проведённого исследования было определено, что причиной данного трафика являются четыре дополнения, представленные в каталоге Chrome Web Store:

Nyoogle — Custom Logo for Google (509 тысяч пользователей), Lite Bookmarks, Change HTTP Request Header (14 тысяч), и Stickies — Chrome’s Post-it Notes (21 тысяча)

В дополнениях был прошит код для получения команд с внешнего сервера под видом обновления конфигурации. Фактически на машине пользователя мог быть выполнен любой JavaScript-код, но на практике была зафиксирована только активность, связанная с накруткой кликов на баннеры в рекламных сетях. Код передавался в закамуфлированном виде в составе отдаваемого внешним сервером JSON-блока с данными. Для обхода Content Security Policy (CSP) дополнениями запрашивались полномочия «unsafe-eval». После загрузки внешнего кода дополнение выполняло проверку на предмет запуска отладочных инструментов (chrome://inspect/ и chrome://net-internals/) и если они не обнаружены запускало код в контексте браузерного дополнения.

Для запутывания следов в одном из дополнений выполнение вредоносного кода осуществлялось при помощи модифицированной библиотеки jQuery, метод ajax() в которой был изменён для подмены MIME-типа с «text» на «script» в случае наличия в данных строки «\\\==». Выявленные экземпляры загружаемого вредоносного кода осуществляли создание туннеля к внешнему серверу при помощи WebSocket. Данный туннель использовался в качестве прокси для перенаправления трафика через компьютер пользователя, установившего вредоносное дополнение. Перенаправляемый трафик был связан с загрузкой различных рекламных служб, для которых был организован процесс совершения подставных кликов с системы пользователя.

 

1 star2 star3 star4 star5 star (3 голос, среднее: 3,33 из 5)
Загрузка...
Безопасность и баги

 

Комментировать!

Вам понравится

Хромбуки от Google научатся узнавать владельцев в лицо‍... В новой версии операционной системы Chrome OS появилась функция распознавания лица пользователя. Ноутбуки, работающие под управлением Google Chrome OS, теперь, соответственно, можн...
Google Chrome предлагает пользователям удалить антивирусы при сбое... Представители компании Bitdefender заявили об остановке работы защитного решения, предназначенного для отслеживания эксплоитов в браузере Google Chrome. Данная мера была предпринят...
Chrome начал помечать все HTTP-сайты как Not secure Начиная с сегодняшнего дня, Google Chrome будет помечать все HTTP-сайты как небезопасные. Нововведение вступает в силу сразу после выхода Chrome 68. В браузерах пользователи уви...
В новом Chrome защита Spectre использует на 13% больше памяти... Meltdown, Spectre и подобные им критические уязвимости современных центральных процессоров будут иметь негативные последствия для всей компьютерной отрасли ещё долгие годы. Наприме...
Как проверить ПК встроенным антивирусом Chrome... Прежде всего, это совершенно неожиданно для веб-браузера, что в нем нашли тайный антивирусный инструмент несколько месяцев назад. Кроме того, сканирование на вредоносные программы ...
Google Chrome уличили в тайном сканировании файлов... Эксперт в области кибербезопасности Келли Шортридж (Kelly Shortridge) заметила, что браузер от Google постоянно сканирует почти все файлы на компьютерах под управлением Windows. Об...