The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

31.07.2017 08:52  Фишинг-атака по захвату браузерных дополнений для встраивания в них вредоносного кода

Разработчики браузерного дополнения Copyfish предупредили о потере контроля за учётной записью, используемой для распространения дополнения в каталоге Chrome Web Store. Неизвестные злоумышленники захватили контроль над дополнением и выпустили новую версию, в которую встроили вредоносный код, осуществляющий подстановку навязчивых рекламных блоков и всплывающих окон на сайты. Copyfish насчитывает около 40 тысяч установок и представляет собой реализацию интегрированной в браузер системы распознавания текста (OCR), использующей облачный сервис ocr.space на базе OCR-библиотек Microsoft.

Ранее поставщики Adware практиковали покупку дополнений у авторов, которым надоело заниматься своим проектом. Но на примере Copyfish видно, что теперь они перешли к захвату дополнений через проведение фишинг-атак. В частности, разработчики Copyfish получили поддельное письмо от имени службы поддержки Chrome Web Store с предупреждением о необходимости устранения выявленных в коде дополнения проблем, в случае не исправления которых дополнение будет удалено из каталога.

В тексте была ссылка на тикет, которая указывала через систему коротких ссылок (bit.ly/2uFiL2o) на подставную форму аутентификации, после которой осуществлялся проброс на страницу обсуждения проблемы на сайте chromedev.freshdesk.com. Ссылка явно не бросалась в глаза, так как письмо было оформлено в HTML. Один из команды разработчиков не заметил подвоха и ввёл свои учётные данные в подставной форме аутентификации Google (форма открывалась со страницы "https://login.chrome-extensions.top/ServiceLogin/?https://chrome.google.com/webstore/developer/dashboard").

На следующий день разработчики обнаружили, что без их ведома была выпущена новая версия 2.8.5, содержащая блоки для подстановки рекламы, а управление дополнением привязано к другому аккаунту. Разработчики на себе ощутили проблему, заметив появление несвойственного просматриваемым сайтам всплывающего спама. Но исправить ситуацию они оказались не в силах, так как доступ к учётной записи был закрыт злоумышленниками. Попытки связаться с Google для возвращения доступа или блокировки дополнения пока не принесли успеха. Всем пользователям Copyfish для Chrome рекомендуется срочно отключить дополнение. Версия для Firefox не пострадала.

  1. Главная ссылка к новости (https://a9t9.com/blog/chrome-e...)
  2. OpenNews: Создатель вредоносного ПО блокировал отчёт о проблеме под предлогом нарушения авторских прав
  3. OpenNews: Зафиксирована скупка популярных браузерных дополнений для распространения вредоносного кода
  4. OpenNews: Дополнение Web of Trust уличено в продаже сведений о посещениях пользователей
  5. OpenNews: В браузерном дополнении Cisco WebEx выявлен URL, позволяющий выполнить код в системе
  6. OpenNews: Chrome-дополнение Particle было выкуплено у автора и превращено во вредоносное ПО
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: chrome, fishing, adware
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, iPony, 08:59, 31/07/2017 [ответить] [смотреть все]
  • +21 +/
    > Попытки связаться с Google для решения проблемы или блокировки дополнения пока не принесли успеха

    Саппорт у гугла есть только для тех, кто хорошие деньги платит. Остальным роботы :D

     
     
  • 2.2, Аноним, 09:05, 31/07/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +3 +/
    ты что такое же может быть только в MS Google он компания добра всем добра ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.3, A.Stahl, 09:10, 31/07/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Желает Поэтому предоставляет робота, а не блондинистую мегеру, которая в лучшем... весь текст скрыт [показать]
     
     
  • 4.17, Анан, 16:22, 31/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Ну неправда же 8230 Роботы тебя катают по одним и тем же скриптам без дополнит... весь текст скрыт [показать]
     
     
  • 5.22, A.Stahl, 17:57, 31/07/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Тебе хамят роботы Наверное ты не очень хороший человек если даже роботы тебя не... весь текст скрыт [показать]
     
  • 5.26, Аноним, 01:07, 01/08/2017 [^] [ответить] [смотреть все]  
  • +/
    сапорты делают то же самое, только еще нагрубить или постебаться попутно могут ... весь текст скрыт [показать]
     
  • 2.4, Аноним, 09:11, 31/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Да уж, всегда думал, что с поддержкой у Google проблем нет, пока лично не столкн... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.27, gra, 01:39, 01/08/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    если ты не понимаешь, что найденый баг надо писать на https groups google com ... весь текст скрыт [показать]
     
     ....нить скрыта, показать (7)

  • 1.5, metakeks, 10:04, 31/07/2017 [ответить] [смотреть все]  
  • –1 +/
    То чувство, когда оказался прав, сказав, что лучший браузер = браузер + запрет третьих кук и рекламные адреса в файл хостс (:
     
     
  • 2.9, X4asd, 11:37, 31/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    и причём тут расширение для распознования текста ... весь текст скрыт [показать] [показать ветку]
     
  • 1.6, Sfinx, 10:14, 31/07/2017 [ответить] [смотреть все]  
  • +/
    а гугель может и через год раздуплиться, он такой...
     
  • 1.7, Аноним, 10:52, 31/07/2017 [ответить] [смотреть все]  
  • +/
    Благодаря этой новости, я узнал, что для Firefox есть OCR-дополнение Давно напр... весь текст скрыт [показать]
     
     
  • 2.10, Аноним, 11:38, 31/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А какое применение у ocr в браузере?
     
     
  • 3.11, Аноним, 11:53, 31/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Ну, например, чтобы картинку с текстом на чужом языке распознать, чтобы потом пе... весь текст скрыт [показать]
     
  • 3.19, ., 16:52, 31/07/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    китайцы почему-то обожают в своих инструкциях и описаниях сканировать бумажку с ... весь текст скрыт [показать]
     
     
  • 4.24, НяшМяш, 23:49, 31/07/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    просто задолбаешься иероглифы на клавиатуре набирать, вот они и фоткают
     
  • 3.20, Anonplus, 17:07, 31/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Банально - ввести китайскую капчу Или текст скопировать с картинки иногда нужно... весь текст скрыт [показать]
     
  • 1.12, Аноним, 12:41, 31/07/2017 [ответить] [смотреть все]  
  • –2 +/
    Неужели ещё остались идиоты, открывающие короткие ссылки ... весь текст скрыт [показать]
     
     
  • 2.13, A, 13:05, 31/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Как минимум 99% пользователей винды.
     
     
  • 3.21, A.Stahl, 17:55, 31/07/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Статистика получена путём опроса трёх пользователей родители и сосед по парте ... весь текст скрыт [показать]
     
     
  • 4.25, Дима, 23:54, 31/07/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Нельзя получить результат в 99 опросив менее 100 человек Чистая математика лог... весь текст скрыт [показать]
     
     
  • 5.28, Аноним, 02:25, 01/08/2017 [^] [ответить] [смотреть все]  
  • +/
    Можно, если ввести доп коэффициетны и использовать стат методы Продолжай учи... весь текст скрыт [показать]
     
  • 5.29, NeoDima, 02:56, 01/08/2017 [^] [ответить] [смотреть все]  
  • +/
    еще месяц потерпеть осталось до школа. Тока математику больше не прогуливай, а то так и будешь дальше позориться
     
  • 1.14, Аноним84701, 13:38, 31/07/2017 [ответить] [смотреть все]  
  • –1 +/
    > Ссылка явно не бросалась в глаза, так как письмо было оформлено в HTML.

    Оно же ведь как, пока петух жареный не клюнет -- "Это современные реалии, добро пожаловать в 21 век, динозавры! HTML в письмах не костыль, а дань унификации! Как можно жить, если нельзя выставить красивый темно-серый фон и торжественный бордово-красный СomicSans 5px в качестве шрифтов для получателя?"

    Кстати, в оригинале там идет еще:
    > Note that the bitly link was not directly visible in the phishing email, as it was an HTML-email.
    > That is another lesson learned: Back to standard, text-based email as the default.

     
     
  • 2.23, Аноним, 19:37, 31/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    PayPal... весь текст скрыт [показать] [показать ветку]
     
  • 1.15, Аноним, 13:46, 31/07/2017 [ответить] [смотреть все]  
  • +/
    Собственно, ничего нового Даже веб разрабы покупаются на глупый fishing Я ввож... весь текст скрыт [показать]
     
     
  • 2.16, Аноним, 14:32, 31/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Ты уверен, что интернет-провайдер не перехватывает твои DNS-запросы?
     
     
  • 3.18, Аноним84701, 16:41, 31/07/2017 [^] [ответить] [смотреть все]  
  • +/
    >> DNSsec включен.
    > Ты уверен, что интернет-провайдер не перехватывает твои DNS-запросы?

    Вы уверены, что знаете, что такое DNSSEC?
    https://tools.ietf.org/html/rfc4033#page-7
    > The Domain Name System (DNS) security extensions provide origin
    >   authentication and integrity assurance services for DNS data,
    >   including mechanisms for authenticated denial of existence of DNS  data.  
    >

     
  • 3.32, arisu, 02:44, 02/08/2017 [^] [ответить] [смотреть все]  
  • +/
    > Ты уверен, что интернет-провайдер не перехватывает твои DNS-запросы?

    перехватывает, конечно. и даже усердно читает. но ничего не понимает, потому что dnscrypt, со сверкой ответов с нескольких рандомных серверов.

     
     
  • 4.33, Аноним, 21:41, 04/08/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Вот это трындец
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor