Oltre 500 estensioni Chrome caricate segretamente dati privati


Più di 500 estensioni del browser scaricate milioni di volte dal Chrome Web Store di Google hanno caricato di nascosto i dati di navigazione privata su server controllati dagli aggressori, hanno detto i ricercatori giovedì.

ARS TECHNICA

Questa storia è originariamente apparsa Ars Technica, una fonte affidabile di notizie sulla tecnologia, analisi delle politiche tecnologiche, recensioni e altro. Ars è di proprietà della società madre WIRED, Condé Nast.

Le estensioni facevano parte di un lungo programma di malvertising e frodi pubblicitarie scoperto dalla ricercatrice indipendente Jamila Kaya. Lei e i ricercatori di Duo Security di proprietà di Cisco hanno infine identificato 71 estensioni del Chrome Web Store con oltre 1,7 milioni di installazioni. Dopo che i ricercatori hanno comunicato privatamente i loro risultati a Google, l'azienda ha identificato oltre 430 estensioni aggiuntive. Da allora Google ha rimosso tutte le estensioni conosciute.

"Nel caso riportato qui, i creatori di estensioni di Chrome avevano appositamente creato estensioni che offuscavano le funzionalità pubblicitarie sottostanti dagli utenti", ha scritto Jacob Rickerd, ricercatore di Kaya e Duo Security in un rapporto. "Ciò è stato fatto al fine di connettere i client browser a un'architettura di comando e controllo, esfiltrare i dati di navigazione privati ​​all'insaputa dell'utente, esporre l'utente al rischio di sfruttamento attraverso flussi pubblicitari e tentare di eludere i meccanismi di rilevamento delle frodi del Chrome Web Store “.

Un labirinto di reindirizzamenti, malware e altro

Le estensioni sono state presentate principalmente come strumenti che hanno fornito vari servizi di promozione e pubblicità come servizio. In effetti, si sono impegnati in frodi pubblicitarie e malvertising mescolando i browser infetti attraverso un labirinto di domini abbozzati. Ogni plug-in si è prima collegato a un dominio che utilizzava lo stesso nome del plug-in (ad esempio: Mapstrek (.) Com o ArcadeYum (.) Com) per verificare se sono state disinstallate.

I plug-in hanno quindi reindirizzato i browser a uno dei pochi server di controllo hardcoded per ricevere ulteriori istruzioni, posizioni per caricare dati, elenchi di feed di annunci pubblicitari e domini per reindirizzamenti futuri. I browser infetti hanno quindi caricato i dati dell'utente, aggiornato le configurazioni dei plug-in e sono passati attraverso un flusso di reindirizzamenti del sito.

Il rapporto di giovedì è continuato:

L'utente riceve regolarmente nuovi domini redirector, poiché vengono creati in batch, con più domini precedenti creati nello stesso giorno e ora. Operano tutti allo stesso modo, ricevendo il segnale dall'host e quindi inviandoli a una serie di flussi di annunci e, successivamente, a annunci legittimi e illegittimi. Alcuni di questi sono elencati nella sezione "End domains" dei CIO, sebbene siano troppo numerosi per essere elencati.

Molti dei reindirizzamenti hanno portato a annunci benigni per prodotti di Macy, Dell e Best Buy. Ciò che ha reso il sistema dannoso e fraudolento è stato (a) il grande volume di contenuti pubblicitari (fino a 30 reindirizzamenti in alcuni casi), (b) l'occultamento deliberato della maggior parte degli annunci da parte degli utenti finali e (c) l'uso dell'annuncio reindirizzare flussi per inviare browser infetti a siti di malware e phishing. Due esempi di malware collegati ai siti dei plug-in sono stati:

  • ARCADEYUMGAMES.exe, che legge le chiavi relative al servizio terminale e accede a informazioni potenzialmente sensibili dai browser locali e
  • MapsTrek.exe, che ha la capacità di aprire gli Appunti

Tutti i siti tranne uno utilizzati nello schema non erano stati precedentemente classificati come dannosi o fraudolenti dai servizi di intelligence sulle minacce. L'eccezione è stata lo stato del Missouri, che elencava DTSINCE (.) Com, uno dei pochi server di controllo hard-coded, come sito di phishing.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *