The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Фишинг-атака по захвату браузерных дополнений для встраивания в них вредоносного кода

31.07.2017 08:52

Разработчики браузерного дополнения Copyfish предупредили о потере контроля за учётной записью, используемой для распространения дополнения в каталоге Chrome Web Store. Неизвестные злоумышленники захватили контроль над дополнением и выпустили новую версию, в которую встроили вредоносный код, осуществляющий подстановку навязчивых рекламных блоков и всплывающих окон на сайты. Copyfish насчитывает около 40 тысяч установок и представляет собой реализацию интегрированной в браузер системы распознавания текста (OCR), использующей облачный сервис ocr.space на базе OCR-библиотек Microsoft.

Ранее поставщики Adware практиковали покупку дополнений у авторов, которым надоело заниматься своим проектом. Но на примере Copyfish видно, что теперь они перешли к захвату дополнений через проведение фишинг-атак. В частности, разработчики Copyfish получили поддельное письмо от имени службы поддержки Chrome Web Store с предупреждением о необходимости устранения выявленных в коде дополнения проблем, в случае не исправления которых дополнение будет удалено из каталога.

В тексте была ссылка на тикет, которая указывала через систему коротких ссылок (bit.ly/2uFiL2o) на подставную форму аутентификации, после которой осуществлялся проброс на страницу обсуждения проблемы на сайте chromedev.freshdesk.com. Ссылка явно не бросалась в глаза, так как письмо было оформлено в HTML. Один из команды разработчиков не заметил подвоха и ввёл свои учётные данные в подставной форме аутентификации Google (форма открывалась со страницы "https://login.chrome-extensions.top/ServiceLogin/?https://chrome.google.com/webstore/developer/dashboard").

На следующий день разработчики обнаружили, что без их ведома была выпущена новая версия 2.8.5, содержащая блоки для подстановки рекламы, а управление дополнением привязано к другому аккаунту. Разработчики на себе ощутили проблему, заметив появление несвойственного просматриваемым сайтам всплывающего спама. Но исправить ситуацию они оказались не в силах, так как доступ к учётной записи был закрыт злоумышленниками. Попытки связаться с Google для возвращения доступа или блокировки дополнения пока не принесли успеха. Всем пользователям Copyfish для Chrome рекомендуется срочно отключить дополнение. Версия для Firefox не пострадала.

  1. Главная ссылка к новости (https://a9t9.com/blog/chrome-e...)
  2. OpenNews: Создатель вредоносного ПО блокировал отчёт о проблеме под предлогом нарушения авторских прав
  3. OpenNews: Зафиксирована скупка популярных браузерных дополнений для распространения вредоносного кода
  4. OpenNews: Дополнение Web of Trust уличено в продаже сведений о посещениях пользователей
  5. OpenNews: В браузерном дополнении Cisco WebEx выявлен URL, позволяющий выполнить код в системе
  6. OpenNews: Chrome-дополнение Particle было выкуплено у автора и превращено во вредоносное ПО
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/46945-chrome
Ключевые слова: chrome, fishing, adware
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (30) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, iPony (?), 08:59, 31/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +21 +/
    > Попытки связаться с Google для решения проблемы или блокировки дополнения пока не принесли успеха

    Саппорт у гугла есть только для тех, кто хорошие деньги платит. Остальным роботы :D

     
     
  • 2.2, Аноним (-), 09:05, 31/07/2017 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    ты что.. такое же может быть только в MS.. Google он компания добра. всем добра желает.
     
     
  • 3.3, A.Stahl (ok), 09:10, 31/07/2017 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Желает. Поэтому предоставляет робота, а не блондинистую мегеру, которая в лучшем случае скажет: "Вы что, не видите -- у нас перерыв". Просто роботы пока туповаты. Но хоть не хамят.
     
     
  • 4.17, Анан (?), 16:22, 31/07/2017 [^] [^^] [^^^] [ответить]  
    		• +/
    Ну неправда же…
    Роботы тебя катают по одним и тем же скриптам без дополнительных объяснений и уточнений. При повторении цикла 3 раза, тикет закрывается.
     
     
  • 5.22, A.Stahl (ok), 17:57, 31/07/2017 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    > Ну неправда же…

    Тебе хамят роботы? Наверное ты не очень хороший человек если даже роботы тебя не любят.


     
  • 5.26, Аноним (-), 01:07, 01/08/2017 [^] [^^] [^^^] [ответить]  
    		• +/
    > Ну неправда же…
    > Роботы тебя катают по одним и тем же скриптам без дополнительных объяснений
    > и уточнений. При повторении цикла 3 раза, тикет закрывается.

    сапорты делают то же самое, только еще нагрубить или постебаться попутно могут. роботы себе такое не позволяют - футбол вежливый, даже в 2 часа ночи в воскресенье.

     
  • 2.4, Аноним (-), 09:11, 31/07/2017 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Да уж, всегда думал, что с поддержкой у Google проблем нет, пока лично не столкнулся с явным багом.  Отправил через разные формы уведомления о проблемах, но ни одного ответа по существу не получил, только отмазки от ботов в стиле благодарим за обращение, проверьте всё ещё раз и прочитайте руководство пользователя. Хотя я всё подробно разжевал, как повторить проявление бага. В официальном форуме пришла куча подтверждений от обычных пользователей, у которых эта проблема всплывала, но никто из сотрудников не отреагировал.
     
     
  • 3.27, gra (ok), 01:39, 01/08/2017 [^] [^^] [^^^] [ответить]  
    		• –3 +/
    если ты не понимаешь, что найденый баг надо писать на https://groups.google.com/a/chromium.org/forum/#!forum/chromium-dev или blink-dev, а не "через разные формы уведомления о проблемах" то ты в принципе ни одного бага ни найти, ни нормально описать не можешь
     

  • 1.5, metakeks (?), 10:04, 31/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    То чувство, когда оказался прав, сказав, что лучший браузер = браузер + запрет третьих кук и рекламные адреса в файл хостс (:
     
     
  • 2.9, X4asd (ok), 11:37, 31/07/2017 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    > То чувство, когда оказался прав, сказав, что лучший браузер = браузер + запрет третьих кук и рекламные адреса в файл хостс (:

    и причём тут расширение для распознования текста?

     

  • 1.6, Sfinx (ok), 10:14, 31/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    а гугель может и через год раздуплиться, он такой...
     
  • 1.7, Аноним (-), 10:52, 31/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Благодаря этой новости, я узнал, что для Firefox есть OCR-дополнение. Давно напрягало,что для Хплма есть Project Naptcha,а для Firefox ничего подобного найти не удавалось.
     
     
  • 2.10, Аноним (-), 11:38, 31/07/2017 [^] [^^] [^^^] [ответить]  
    		• +/
    А какое применение у ocr в браузере?
     
     
  • 3.11, Аноним (-), 11:53, 31/07/2017 [^] [^^] [^^^] [ответить]  
    		• +/
    Ну, например, чтобы картинку с текстом на чужом языке распознать, чтобы потом перевести, когда под рукою нет предназначенной на то программы.
     
  • 3.19, . (?), 16:52, 31/07/2017 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    > А какое применение у ocr в браузере?

    китайцы почему-то обожают в своих инструкциях и описаниях сканировать бумажку с иероглифами, чтоб лаовай потрахался, а не просто так скопировал в гуглтранслейт

      

     
     
  • 4.24, НяшМяш (ok), 23:49, 31/07/2017 [^] [^^] [^^^] [ответить]  
    		• –2 +/
    просто задолбаешься иероглифы на клавиатуре набирать, вот они и фоткают
     
  • 3.20, Anonplus (?), 17:07, 31/07/2017 [^] [^^] [^^^] [ответить]  
    		• +/
    Банально - ввести китайскую капчу. Или текст скопировать с картинки иногда нужно.

    Но, всё же, Copyfish не так удобно, как Project Naptcha. Требует сначала нажать иконку, потом обвести текст, а Naptcha автоматически распознаёт все картинки без участия пользователя - т. е. просто выделяешь текст с картинки, словно это обычный текст.

    Надеюсь, что Naptcha адаптируют для Firefox, зря что ли Mozilla через пару выпусков перейдёт на новой API дополнений.

     

  • 1.12, Аноним (-), 12:41, 31/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –2 +/
    > ссылка на тикет, которая указывала через систему коротких ссылок (bit.ly/2uFiL2o) на подставную форму аутентификации

    Неужели ещё остались идиоты, открывающие короткие ссылки?

     
     
  • 2.13, A (?), 13:05, 31/07/2017 [^] [^^] [^^^] [ответить]  
    		• –2 +/
    Как минимум 99% пользователей винды.
     
     
  • 3.21, A.Stahl (ok), 17:55, 31/07/2017 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Статистика получена путём опроса трёх пользователей (родители и сосед по парте)?
     
     
  • 4.25, Дима (??), 23:54, 31/07/2017 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Нельзя получить результат в 99% опросив менее 100 человек. Чистая математика/логика.
     
     
  • 5.28, Аноним (-), 02:25, 01/08/2017 [^] [^^] [^^^] [ответить]  
    		• +/
    Можно, если ввести доп. коэффициетны и использовать стат. методы.
    Продолжай учить математику.
     
  • 5.29, NeoDima (?), 02:56, 01/08/2017 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    еще месяц потерпеть осталось до школа. Тока математику больше не прогуливай, а то так и будешь дальше позориться
     

  • 1.14, Аноним84701 (ok), 13:38, 31/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    > Ссылка явно не бросалась в глаза, так как письмо было оформлено в HTML.

    Оно же ведь как, пока петух жареный не клюнет -- "Это современные реалии, добро пожаловать в 21 век, динозавры! HTML в письмах не костыль, а дань унификации! Как можно жить, если нельзя выставить красивый темно-серый фон и торжественный бордово-красный СomicSans 5px в качестве шрифтов для получателя?"

    Кстати, в оригинале там идет еще:
    > Note that the bitly link was not directly visible in the phishing email, as it was an HTML-email.
    > That is another lesson learned: Back to standard, text-based email as the default.

     
     
  • 2.23, Аноним (-), 19:37, 31/07/2017 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > Мы пытались отправить вам электронное письмо в формате HTML (с изображениями и текстом), но произошла ошибка.
    > Для просмотра данного письма в Вашем браузере пройдите по ссылке:

    © PayPal

     

  • 1.15, Аноним (-), 13:46, 31/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Собственно, ничего нового.

    Даже веб разрабы покупаются на глупый fishing. Я ввожу пароли на сайтах только 1) если сам их открыл из истрии/закладок 2) проверив SSL сертификат.

    DNS резолвер у меня локальный, и DNSsec включен.

    // b.

     
     
  • 2.16, Аноним (-), 14:32, 31/07/2017 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Ты уверен, что интернет-провайдер не перехватывает твои DNS-запросы?
     
     
  • 3.18, Аноним84701 (ok), 16:41, 31/07/2017 [^] [^^] [^^^] [ответить]  
    		• +/
    >> DNSsec включен.
    > Ты уверен, что интернет-провайдер не перехватывает твои DNS-запросы?

    Вы уверены, что знаете, что такое DNSSEC?
    https://tools.ietf.org/html/rfc4033#page-7
    > The Domain Name System (DNS) security extensions provide origin
    >   authentication and integrity assurance services for DNS data,
    >   including mechanisms for authenticated denial of existence of DNS  data.  
    >

     
  • 3.32, arisu (ok), 02:44, 02/08/2017 [^] [^^] [^^^] [ответить]  
    		• +/
    > Ты уверен, что интернет-провайдер не перехватывает твои DNS-запросы?

    перехватывает, конечно. и даже усердно читает. но ничего не понимает, потому что dnscrypt, со сверкой ответов с нескольких рандомных серверов.

     
     
  • 4.33, Аноним (-), 21:41, 04/08/2017 [^] [^^] [^^^] [ответить]  
    		• +/
    Вот это трындец
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру