21.07.2016 в 06:01

Зловред в CHROME привлекает жертв через Фейсбук

На этот вопрос пытался найти ответ исследователь Максим Кьяер (Maxime Kjaer), когда отметил, что обновления его друга в Фейсбуке были завалены лайками провокационных ссылок вроде «Basic Kissing Tips» («Как правильно целоваться»). «Я был заинтригован и решил выяснить, из-за чего весь сыр-бор», – написал в своем блоге Кьяер, 19-летний студент факультета компьютерных технологий в Швейцарском федеральном технологическом институте.

Он обнаружил «зияющую дыру» в магазине приложений Google Chrome, благодаря которой вирусописатели заражали браузер при помощи вредоносного расширения для верификации возраста.

Зараженное расширение под названием «Viral Content Age Verify» позволяло «считывать и модифицировать данные на сайтах, которые посещает пользователь», а также потенциально «читать электронную почту, похищать учетные записи, использовать компьютер для DDoS-атак, майнить биткоины, распространять пиратский контент… дальше сами продолжайте.

Кроме того, злоумышленник мог считывать и красть информацию о кредитных картах, если вы вводите данные кредитки на любой веб-странице», – описывает масштаб проблемы Кьяер. Исследование началось с того, что Кьяер «лайкнул» один из постов своего друга в Фейсбуке.

Как только он это сделал, пришел запрос на подтверждение возраста через установку расширения Viral Content Age Verify в Chrome. Согласившись на установку расширения, Кьяер отметил, что в этот же момент файл метаданных manifest.json начал исполняться в трех скриптах (background.js, query-string.js и install.js). Как background.js, так и query-string.js достаточно безобидны.

Однако скрипт install.js запускает загрузку вредоносного компонента с двух жестко закодированных URL-ссылок. «Первая ссылка служит для получения инструкций с командного сервера, а вторая – для связи с ним», – пишет исследователь. После исполнения скрипта зараженная машина получает от командного сервера инструкции по краже токенов доступа к Фейсбуку, чтобы злоумышленники смогли добраться до странички жертвы.

После получения доступа к аккаунту в соцсети хакеры от имени «взломанного» пользователя немедленно «лайкали» страницу под названием VVideosss. Хотя Кьяер утвержает, что все функции зловреда были «заточены» под работу в Фейсбуке, возможность кражи учетных записей также применима к YouTube. Заполучив учетные данные, зловред посылает на командный сервер информацию о зараженном компьютере, версии вредоносного расширения и о том, залогинился ли пользователь в Фейсбук.

По словам Кьяера, в магазине Google Chrome было обнаружено девять одинаковых версий расширения Viral Content Age Verify, и ими воспользовались 132265 пользователей. Кьяер уже оповестил Google и хостера DigitalOcean, у которого размещен C&C-сервер атакующих. И Google, и хостинговая компания незамедлительно приняли меры: отключили сервера и занесли расширение в черный список.

«Технически все компьютеры сейчас заражены, но сам зловред будет обезврежен. Уязвимость, которая содержалась в 130 тыс систем, пропатчена. Конечно, это капля в море по сравнению со всем Интернетом, но все равно, я считаю, неплохо», – признался Кьяер. Google пока не ответила на запрос Threatpost о комментарии, но с Кьяером связалась и подтвердила, что все расширения Age Verification внесены в черный список.

Уилл Харрис (Will Harris), член ИБ-команды Chrome, подчеркнул, что после внесения в черный список расширения будут автоматически удалены с зараженных компьютеров. Кьяер похвалил Google за оперативность, однако осудил политику компании в отношении безопасности расширений Chrome.

«Дело в том, что существующая система распознавания вредоносного ПО в магазине Chrome Webstore –  посмешище, – написал он. – Чтобы обойти меры безопасности, нужно лишь грузить вредоносный компонент в ходе установки расширения, а не паковать его в загрузчик.

Это положение вещей сохраняется годами, и Google, похоже, никак не соберется решить эту проблему. Компания предлагает пятизначные суммы за поиск багов в Chrome и совершенно игнорирует зияющую дыру в системе безопасности!»

Источник новости: xakep.ru

Теги: chrome, Facebook, безопасность

315 просмотров

Оставить комментарий

Популярные статьи

Как установить Internet Explorer на Mac OS

прочтений: 8286 23.12.2015 в 19:12
У разработчиков различных программных продуктов очень часто возникает необходимость тестирования своих новых наработок в разных браузерах. Но если для основной работы используются, например, компьютеры... Читать далее
Браузер Opera Mini как для Android, так и для остальных мобильных ОС, на которых он выпущен (Symbian, iOS, Windows Phone), имеет встроенную функцию сохранения страниц веб-сайтов с дальнейшей возможностью их просмотра без подключения... Читать далее
Часто возникает необходимость сохранять различные страницы в Интернете для последующего их использования. И отлично справляется с этим такая функция браузера, как добавление закладок и, конечно же,... Читать далее
В отличие от браузера Google Chrome, в котором функция сохранения страницы в PDF является встроенной, в Firefox и Opera это достигается установкой специальных расширений и плагинов.... Читать далее
Облако тегов