Масово разпространение на шпиониращи вируси в магазина на Mozilla

12
1584

В каталога за разширения за Firefox (АМО) започна масова публикация на вредоносни допълнения, прикриващи се като известни проекти. Така например, в каталога се виждат Adobe Flash Player, ublock origin Pro, Adblock Flash Player и т.н., които всъщност за опасни шпиониращи вируси.

След изтриването на тези и подобните разширения злоумишлениците веднага създават нов акаунт и отново качват същите вирусни разширения. Така например, преди няколко часа бе създаден акаунта Firefox user 15018635, в който са качени разширенията Youtube Adblock,Ublock plus, Adblock Plus 2019. По всичко личи, че хакерите се опитват да качат колкото се може по-нагоре своите разширения в резултатите, давани от търсачката. В това има смисъл, понеже вирусните обновявания досега съвсем лесно се разпознаваха по това, че нямат харесвания, коментари и търсения.

При инсталирането на подобно разширение се иска достъп до всички данни на посещаваните уеб сайтове. Стартира се кейлогър, който предава всички данни от натиснатите бутони на клавиатурата към хоста theridgeatdanbury.com. Там се изпращат и данните за запълваните антетки и инсталираните Cookie. Имената на инсталационните файлове са във вид „adpbe_flash_player-*.xpi“ или „player_downloader-*.xpi“. Кодът в самите допълнения е променен съвсем незначително, а вградените вредоносни команди са очевидни и не се крият по никакъв начин.

Най-вероятно неизползването на каквито и да било техники за скриване на вредоносната активност и пределно опростеният код са успели да излъжат автоматизираната система за предварителен преглед и рецензиране на разширенията. Но е съвсем неразбираемо, как така тази автоматизирана проверка е пропуснала съвсем явния факт на очевидно изпращане на данни от съответното разширение към външен хост.

Да напомним, че според Mozilla проверката по цифров подпис позволява блокирането и разпространението на вредоносни и шпиониращи разширения. Някои разработчици на разширения не са съгласни с тази позиция и считат, че механизмът за задължителна проверка по цифров подпис само създава усложнения за програмистите и забавя пристигането на необходимите корекции до потребителите, като в същото време по никакъв начин не влияе на безопасността. Налични са редица тривиални и очевидни начини за заобикаляне на системата за автоматична проверка на разширенията, даващи възможност незабележимо да се вмъкне вредоносен код. Показани са и примери. Но позицията на Mozilla се свежда до това, че повечето автори на подобни разширения са твърде мързеливи и няма да използват техниките, описани в примерите.

През месец октомври 2017 година в каталога на АМО бе въведен нов начин за проверка и рецензиране на разширенията. Вместо ръчна проверка бе стартиран автоматичен процес, който премахна дългото чакане за рецензия на всяко едно разширение. Ръчната проверка пак се използва, но само за някои разширения, за които се счита че има повишен фактор на риск. Сега стана очевидно, че ще трябва да се направи още нещо.

12
ДОБАВИ КОМЕНТАР

avatar
4 Коментари
8 Отговори на коментарите
7 Последователи
 
Коментарът с най-много реакции
Най-горещият коментар
  Абонирай се  
нови стари оценка
Извести ме за
Technical
Technical

Допреди няколко седмици бях с Adblock на Firefox и забелязвах долу вляво, че се зарежда някаква връзка към yandex.ru. Разкарах Adblock и вече съм с Ghostery. Измамниците са масово в Русия и Китай. Не инсталирайте нищо оттам.

boot
boot

За туй, един pfsense/оpnsense, качваш си pfblocker, мяташ Русия, Китай, Северна Корея и т.н. в шит листата. Лично аз, имам малко неблокирани държави и по нищо не съм усетил разликата (дори цели континенти съм блокирал). Имам по няколкостотин блокирани адреси на ден (основно от Русия и Китай). 99% дори нямат описано хостове към тях.

Oracle
Oracle

И магазина като браузъра – пробита работа.
Виж, Операта си е друго нещо 🙂

Technical
Technical

Операта вече е собственост на китайците. 😂 Трябва да си особено вдлъбнат, за да я ползваш. ☺

Стоян
Стоян

А вие кой браузър използвате/препоръчвате?

Technical
Technical

Само Хром или Файърфокс без сенчести приставки. Ясно е, че всички следят хората, но по-добре информацията ти да отива в Европа или САЩ, отколкото в ръцете на азиатските терористи, за да не получиш един ден рансъмуеър или редовно фишинг.

Oracle
Oracle

@Technical
Историята показва точно обратното.
Ти нещо, май, май … не си се завивал, като си спал.
И като гледам, май се се редил два пъти на опашката за промиване на мозъчета 🙂

Fermin Trujillo
Fermin Trujillo

пич пробвай palemoon, има го за М$ и Линукс, има и представки, супер е, успех.

no more
no more

Аха,пък ти изпъкналия предпочиташ хамериканците да те шпионират,умник си,знаех си!

Петър
Петър

Проверка, която пропуска най-простата и праволинейна атака… Това е резил!

Излиза че и на тези не мога да им вярвам.

bluewater
bluewater

Вярата е неизменна част от религията и вредна във всеки друг аспект от живота.

НАСАКОТО ЯКАТА
НАСАКОТО ЯКАТА

Ползвам основно Яндекс браузър. Като чета коментарите разбирам че съм се прецакал тотално!