В ходе фиксируемой в Сети фишинг-атаки злоумышленникам удалось (https://www.proofpoint.com/us/threat-insight/post/threat-act...) получить контроль ещё за шестью дополнениями к Chrome - Chrometana (https://chrome.google.com/webstore/detail/chrometana-redirec...) (644 тысячи пользователей), Infinity New Tab (https://chrome.google.com/webstore/detail/infinity-new-tab/d...) (439 тысяч пользователей), Web Paint (https://chrome.google.com/webstore/detail/web-paint/emeokgok...) (52 тысячи пользователей), Social Fixer (https://chrome.google.com/webstore/detail/social-fixer-for-f...) (180 тысяч пользователей), TouchVPN (https://chrome.google.com/webstore/detail/free-proxy-to-unbl...) (1 млн пользователей) и Betternet VPN (https://chrome.google.com/webstore/detail/betternet-unlimite...) (1.3 млн пользователей). Таким образом, за время проведения фишинг-атаки злоумышленникам удалось получить контроль за дополнениями с суммарной аудиторией более 4.8 млн пользователей.
Метод захвата аналогичен ранее раскрытым атакам на дополнения Copyfish (https://www.opennet.me/opennews/art.shtml?num=46945) и Web Developer (https://www.opennet.me/opennews/art.shtml?num=46970), и также вызван невнимательным отношением разработчиков при открытии писем, написанных от лица администрации каталога Chrome App Store. После того как разработчики по недосмотру вводили свои параметры авторизации в подставной форме входа в сервисы Google, пытаясь просмотреть детали о якобы выявленной в дополнении проблеме,
злоумышленники получали доступ к учётной записи и выпускали новый выпуск дополнения, в который встраивали вредоносный код, отображающий навязчивые рекламные блоки и перехватывающий параметры доступа к сети доставки контента Cloudflare.
Суть работы добавляемого злоумышленниками кода сводится к ожиданию как минимум 10 минут после установки или обновления дополнения, после чего с внешнего сервера осуществляется загрузка JavaScript-файла с основным вредоносным кодом. Интересно, что для обхода блокировки по маске имя домена для загрузки кода выбирается путём вычисления MP5-хэша от текущего дня месяца и года ("wd" + md5(day + '-' + month + '-' + year) + ".win");
Загруженный код пытается перехватить параметры авторизации к Cloudflare и заменяет блоки популярных рекламных сетей на баннеры злоумышленников. Отдельно используется большой набор правил для замены рекламы на различных порносайтах и независящие от рекламной сети правила типовой замены для 33 наиболее популярных размеров баннеров (468x60, 728x90 и т.п.). Кроме замены рекламы осуществляется вывод всплывающих окон с фиктивной информацией о проблемах, перенаправляющих пользователя на сайты, участвующие в различных партнёрских программах.URL: https://www.proofpoint.com/us/threat-insight/post/threat-act...
Новость: http://www.opennet.me/opennews/art.shtml?num=47035
Вот поэтому я до сих пор не пользуюсь Хромом. В Фаерфоксе дополнения и их разработчики выглядят чуток более надежными. Но статистика атак реально пугает.
Файрфокс не настолько популярен, так что средства, затрачиваемые на проворачивание фишинг-атак, не окупятся показами реклам. В супирбизапасном линуксе та же ситуация: вирусописатели не собираются тратить время на 1% десктопа.
И в чем проблема? Главное, что вирусов очень мало а по функциональности для большинства задач более чем достаточно.
> И в чем проблема?В том, что разработчики не-вирусов тоже зачастую
> не собираются тратить время на 1% десктопа
Между прочим Windows 98 SE на данный момент самая безопасная ОС.
Когда же Микрософт урежет бабло этим никчёмным студентам? Ну правда, неграмотные нерадивые дурачки годами твердят свои мантры на… профильных ресурсах. Это же деньги в трубу. Лучше ещё индуса нанять, чтоб ошибки выискивал.Уважаемый куратор MS Student (или как там оно у вас правильно называется), поймите, что эта программа приносит только вред. Пожалуйста, опомнитесь — эти средства можно тратить с большей пользой!
Агентов Кремля^W Госдепа^W жидорептилоидов^W захватчиков из Нибиру^W^W^W Microsoftпоищи под кроватью. Там наверняка один затесался.
Палишся, раздавальщик M$-флаерков.
По крайней мере в Edge такой проблемы не могло быть ...
Меньше дополнений для браузера - меньше проблем. (Нет дополнений - нет проблем).
> неграмотныеДа ты сам неграмотный. Безопасность не берётся просто так.
Вот недавние пробивки по thumbnailerhttps://arstechnica.com/information-technology/2016/12/fedor.../
https://opennet.ru/opennews/art.shtml?num=46885Первая вообще крута совместно с хромиумом (который по дефолту файлы скачивает). Вторая - сказачная глупость кодеров.
Но принцип неуловимого Джо работает на полную катушку - есть такое.
Вот по этой причине я не особо поддерживаю популяризацию линукс десктопа.
Не беспокойся, всегда же можно перейти на OpenBSD.
А на сервера вирусопейсателям, ВНЕЗАПНО, наклаксть с прибором?
Вот это поворот!
> А на сервера вирусопейсателям, ВНЕЗАПНО, наклаксть с прибором?Нет. И там вполне достаточно всяких червей.
Какой-нибудь незакрытый 1-day - это обычное дело в современном интернете. Апдейты ставят далеко не все.
Ну а уж про брутфорс ssh думаю рассказывать не надо. Можешь сам соорудить ханипот с открытым ssh, а потом посмотреть какая полезная нагрузка там будет. И для армов и для x86 ой архитектуры.А под десктопными линуксами по моему вообще что-то раз в истории было стоящее, спасибо фурифоксу.
https://blog.mozilla.org/security/2015/08/06/firefox-exploit.../
А 99% серверов им значит не нужно :))
> В Фаерфоксе дополнения и их разработчики выглядят чуток более надежными.Ну я бы не сказал. Хотя сейчас с падением его рыночной доли, такие случаи будет реже.
А так достаточно было случаев, когда покупали расширения у авторов, а потом выпускали апдейт с "полезной" начинкой.
https://xakep.ru/2013/01/14/59936/
https://forum.mozilla-russia.org/viewtopic.php?id=58209
> В Фаерфоксе дополнения и их разработчики выглядят чуток более надежными.Просто до них ещё очередь не дошла. А так процентов 70 дополнений — те же самые.
> В Фаерфоксе дополнения и их разработчики выглядят чуток более надежнымиИ да, самое смешное и очевидное.
Какбэ у трёх из шести дополнений в новости есть версия для фаерфокс.
И ясно дело, что их те же люди делают.
> Вот поэтому я до сих пор не пользуюсь Хромом.+1 причина к этому же. Какое-то адское клювопрощелканство просто.
Ну тоесть, надо настроить систему банеро-крутилок, подтянуть банеро-партнеров.
А потом ломануть и перенаправить.И что из этого сложнее это большой вопрос.
> Ну тоесть, надо настроить систему банеро-крутилок, подтянуть банеро-партнеров.
> А потом ломануть и перенаправить.
> И что из этого сложнее это большой вопрос.Мне вот интересно, почему именно баннеры, а не какие-нибудь коины в фоне, как в тех же хакнутых рутерах? Ведь ЖСники в каждой новости о v8 твердят, что оно теперь вообще зашибись какое быстрое и идёт чуть ли не на уровне с сишкой (разве что памяти потребляет пока немного больше). Неужто не додумались?
Потому что жор процессора люди заметят и начнут искать.
Кроме того, сейчас уже и майнинг на топовых видеокартах как-то окупается только в странах с дешёвым электричеством, а в других нет. Соответственно, майнить на чём-то менее мощном - просто греть воздух без результата.
> Потому что жор процессора люди заметят и начнут искать.Я же говорю - в фоне. 10-20% в современном, "тяжелом" вебе вряд ли кого-то насторожат ;)
> Кроме того, сейчас уже и майнинг на топовых видеокартах как-то окупается только
> в странах с дешёвым электричеством, а в других нет. Соответственно, майнить
> на чём-то менее мощном - просто греть воздух без результата.Так ведь электричество майнеров "бесплатное" для распространителей дополнения.
Да и в сумме - неужели миллион пользователей на 10% (т.е. грубо округлим до сотни тысяч с полной загрузкой) хуже пары-тройки топовых карт?
с суммарной аудиторией более 4.8 млн пользователей.
То что многи могли использовать и то и другое дополнение никого конечно же не волнует. Сложив просмотры всех видео на youtube высняется, что его смотрят по всей галактике
Чо, не окупился твой фишинг? Ну и страдай теперь.
Вы прослушали успокоительный аутотренинг от вэбмакаки.
Не могу поднять одной вещи. Еще в прошлом посте на туже тему вроде было внятно сказано, что все эти разработчики - ССЗБ, не пользовались двухфакторной аутентификацией ни в какой форме (ни софтиной на андроид ни аппаратным U2F токеном). Выходит, никаких выводов не сделано?
Ты видел хоть одну вэбмакаку, делающую выводы?
Вы не врубаетесь. Если юзер вбивает свой пароль в левую форму, он и токен 2ФА введет туда же.
Проблема в том, что люди являются людьми и не являются машинами. Даже программисты.
> Проблема в том, что люди являются людьми и не являются машинами. Даже программисты.Согласен. Но этот трэд не о людях-програмистах, а о вэб-макаках.
Меня больше волнует факт лечения. Ну вот я заразился, вижу,что лезет реклама. Куда копать, что удалять?
Если у тебя одно из таких расширений — просто удали оное.
Если что-то иное, то тут уже зависти от твоей ОС. Если Винда, то попробуй AdwCleaner и Malwarebytes. Если Линукс или ещё что-то иное, то ничего не трогай — десктопная малварь под линукс находится на грани вымирания и крайне ранима. Порой помирает даже от банальной перезагрузки системы.
> Куда копать, что удалять?Очевидно - удалять Хром. (Возможно и Хромиум, если он стоит).