The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"В результате фишинга захвачен контроль ещё за 6 дополнениями..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В результате фишинга захвачен контроль ещё за 6 дополнениями..."  +/
Сообщение от opennews (??) on 16-Авг-17, 15:04 
В ходе фиксируемой в Сети фишинг-атаки злоумышленникам удалось (https://www.proofpoint.com/us/threat-insight/post/threat-act...) получить контроль ещё за шестью дополнениями к Chrome - Chrometana (https://chrome.google.com/webstore/detail/chrometana-redirec...) (644 тысячи пользователей), Infinity New Tab (https://chrome.google.com/webstore/detail/infinity-new-tab/d...) (439 тысяч пользователей), Web Paint (https://chrome.google.com/webstore/detail/web-paint/emeokgok...) (52 тысячи пользователей), Social Fixer (https://chrome.google.com/webstore/detail/social-fixer-for-f...) (180 тысяч пользователей), TouchVPN (https://chrome.google.com/webstore/detail/free-proxy-to-unbl...) (1 млн пользователей) и Betternet VPN (https://chrome.google.com/webstore/detail/betternet-unlimite...) (1.3 млн пользователей). Таким образом, за время проведения  фишинг-атаки злоумышленникам удалось получить контроль за дополнениями с суммарной аудиторией более 4.8 млн пользователей.


Метод захвата аналогичен ранее раскрытым атакам на дополнения Copyfish (https://www.opennet.dev/opennews/art.shtml?num=46945) и Web Developer (https://www.opennet.dev/opennews/art.shtml?num=46970), и также вызван невнимательным отношением разработчиков при открытии писем, написанных от лица администрации каталога Chrome App Store. После того как разработчики по недосмотру вводили свои параметры авторизации в подставной форме входа в сервисы Google, пытаясь просмотреть детали о якобы выявленной в дополнении проблеме,
злоумышленники получали доступ к учётной записи и выпускали новый выпуск дополнения, в который встраивали вредоносный код, отображающий навязчивые рекламные блоки и перехватывающий  параметры доступа к сети доставки контента Cloudflare.


Суть работы добавляемого злоумышленниками кода сводится к ожиданию как минимум 10 минут после установки или обновления дополнения, после чего с внешнего сервера осуществляется загрузка  JavaScript-файла с основным вредоносным кодом. Интересно, что для обхода блокировки по маске имя домена для загрузки кода выбирается путём вычисления MP5-хэша от текущего дня месяца и года ("wd" + md5(day + '-' + month + '-' + year) + ".win");


Загруженный код пытается перехватить параметры авторизации к Cloudflare и заменяет блоки популярных рекламных сетей на баннеры злоумышленников. Отдельно используется большой набор правил для замены рекламы на различных порносайтах и независящие от рекламной сети правила типовой замены для  33 наиболее популярных размеров баннеров (468x60, 728x90 и т.п.). Кроме замены рекламы осуществляется вывод всплывающих окон с фиктивной информацией о проблемах, перенаправляющих пользователя на сайты, участвующие в различных партнёрских программах.

URL: https://www.proofpoint.com/us/threat-insight/post/threat-act...
Новость: http://www.opennet.dev/opennews/art.shtml?num=47035

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В результате фишинга захвачен контроль ещё за 6 дополнениями..."  +8 +/
Сообщение от Аноним (??) on 16-Авг-17, 15:04 
Вот поэтому я до сих пор не пользуюсь Хромом. В Фаерфоксе дополнения и их разработчики выглядят чуток более надежными. Но статистика атак реально пугает.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "В результате фишинга захвачен контроль ещё за 6 дополнениями..."  –23 +/
Сообщение от Аноним (??) on 16-Авг-17, 15:06 
Файрфокс не настолько популярен, так что средства, затрачиваемые на проворачивание фишинг-атак, не окупятся показами реклам. В супирбизапасном линуксе та же ситуация: вирусописатели не собираются тратить время на 1% десктопа.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "В результате фишинга захвачен контроль ещё за 6 дополнениями..."  +10 +/
Сообщение от Аноним (??) on 16-Авг-17, 15:09 
И в чем проблема? Главное, что вирусов очень мало а по функциональности для большинства задач более чем достаточно.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

18. "В результате фишинга захвачен контроль ещё за 6 дополнениями..."  +/
Сообщение от Аноним (??) on 16-Авг-17, 16:10 
> И в чем проблема?

В том, что разработчики не-вирусов тоже зачастую
> не собираются тратить время на 1% десктопа

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

67. "В результате фишинга захвачен контроль ещё за 6 дополнениями..."  +/
Сообщение от Алала on 18-Авг-17, 18:11 
Между прочим Windows 98 SE на данный момент самая безопасная ОС.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

7. "В результате фишинга захвачен контроль ещё за 6 дополнениями..."  +3 +/
Сообщение от с. баллмер on 16-Авг-17, 15:32 
Когда же Микрософт урежет бабло этим никчёмным студентам? Ну правда, неграмотные нерадивые дурачки годами твердят свои мантры на… профильных ресурсах. Это же деньги в трубу. Лучше ещё индуса нанять, чтоб ошибки выискивал.

Уважаемый куратор MS Student (или как там оно у вас правильно называется), поймите, что эта программа приносит только вред. Пожалуйста, опомнитесь — эти средства можно тратить с большей пользой!

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

12. "В результате фишинга захвачен контроль ещё за 6 дополнениями..."  –1 +/
Сообщение от Аноним (??) on 16-Авг-17, 15:45 
Агентов Кремля^W Госдепа^W жидорептилоидов^W захватчиков из Нибиру^W^W^W Microsoft

поищи под кроватью. Там наверняка один затесался.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

30. "В результате фишинга захвачен контроль ещё за 6 дополнениями..."  +3 +/
Сообщение от Аноним (??) on 16-Авг-17, 17:00 
Палишся, раздавальщик M$-флаерков.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

63. "В результате фишинга захвачен контроль ещё за 6 дополнениями..."  –2 +/
Сообщение от Аноним (??) on 17-Авг-17, 14:08 
По крайней мере в Edge такой проблемы не могло быть ...
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

66. "В результате фишинга захвачен контроль ещё за 6 дополнениями..."  –1 +/
Сообщение от 123 (??) on 18-Авг-17, 13:28 
Меньше дополнений для браузера - меньше проблем. (Нет дополнений - нет проблем).
Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

23. "В результате фишинга захвачен контроль ещё за 6 дополнениями..."  –2 +/
Сообщение от soarin (ok) on 16-Авг-17, 16:25 
> неграмотные

Да ты сам неграмотный. Безопасность не берётся просто так.
Вот недавние пробивки по thumbnailer

https://arstechnica.com/information-technology/2016/12/fedor.../
https://opennet.ru/opennews/art.shtml?num=46885

Первая вообще крута совместно с хромиумом (который по дефолту файлы скачивает). Вторая - сказачная глупость кодеров.

Но принцип неуловимого Джо работает на полную катушку - есть такое.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

8. "В результате фишинга захвачен контроль ещё за 6 дополнениями..."  –4 +/
Сообщение от User (??) on 16-Авг-17, 15:32 
Вот по этой причине я не особо поддерживаю популяризацию линукс десктопа.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

15. "В результате фишинга захвачен контроль ещё за 6 дополнениями..."  +/
Сообщение от Lain_13 (ok) on 16-Авг-17, 15:53 
Не беспокойся, всегда же можно перейти на OpenBSD.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

53. "В результате фишинга захвачен контроль ещё за 6 дополнениями..."  +1 +/
Сообщение от Аноним (??) on 16-Авг-17, 20:34 
А на сервера вирусопейсателям, ВНЕЗАПНО, наклаксть с прибором?
Вот это поворот!
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

57. "В результате фишинга захвачен контроль ещё за 6 дополнениями..."  –1 +/
Сообщение от soarin (ok) on 17-Авг-17, 05:08 
> А на сервера вирусопейсателям, ВНЕЗАПНО, наклаксть с прибором?

Нет. И там вполне достаточно всяких червей.
Какой-нибудь незакрытый 1-day - это обычное дело в современном интернете. Апдейты ставят далеко не все.
Ну а уж про брутфорс ssh думаю рассказывать не надо. Можешь сам соорудить ханипот с открытым ssh, а потом посмотреть какая полезная нагрузка там будет. И для армов и для x86 ой архитектуры.

А под десктопными линуксами по моему вообще что-то раз в истории было стоящее, спасибо фурифоксу.
https://blog.mozilla.org/security/2015/08/06/firefox-exploit.../

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

62. "В результате фишинга захвачен контроль ещё за 6 дополнениями..."  +1 +/
Сообщение от torvn77 (ok) on 17-Авг-17, 13:27 
А 99% серверов им значит не нужно :))
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

24. "В результате фишинга захвачен контроль ещё за 6 дополнениями..."  +/
Сообщение от soarin (ok) on 16-Авг-17, 16:30 
> В Фаерфоксе дополнения и их разработчики выглядят чуток более надежными.

Ну я бы не сказал. Хотя сейчас с падением его рыночной доли, такие случаи будет реже.
А так достаточно было случаев, когда покупали расширения у авторов, а потом выпускали апдейт с "полезной" начинкой.
https://xakep.ru/2013/01/14/59936/
https://forum.mozilla-russia.org/viewtopic.php?id=58209

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

55. "В результате фишинга захвачен контроль ещё за 6 дополнениями..."  +/
Сообщение от Аноним (??) on 16-Авг-17, 23:40 
> В Фаерфоксе дополнения и их разработчики выглядят чуток более надежными.

Просто до них ещё очередь не дошла. А так процентов 70 дополнений — те же самые.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

58. "В результате фишинга захвачен контроль ещё за 6 дополнениями..."  –1 +/
Сообщение от iPony on 17-Авг-17, 06:35 
> В Фаерфоксе дополнения и их разработчики выглядят чуток более надежными

И да, самое смешное и очевидное.
Какбэ у трёх из шести дополнений в новости есть версия для фаерфокс.
И ясно дело, что их те же люди делают.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

59. "В результате фишинга захвачен контроль ещё за 6 дополнениями..."  –1 +/
Сообщение от ryoken (ok) on 17-Авг-17, 07:12 
> Вот поэтому я до сих пор не пользуюсь Хромом.

+1 причина к этому же. Какое-то адское клювопрощелканство просто.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "В результате фишинга захвачен контроль ещё за 6 дополнениями..."  +1 +/
Сообщение от qwerty_qwert1 on 16-Авг-17, 15:07 
Ну тоесть, надо настроить систему банеро-крутилок, подтянуть банеро-партнеров.
А потом ломануть и перенаправить.

И что из этого сложнее это большой вопрос.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

51. "В результате фишинга захвачен контроль ещё за 6 дополнениями..."  +/
Сообщение от Аноним (??) on 16-Авг-17, 18:43 
> Ну тоесть, надо настроить систему банеро-крутилок, подтянуть банеро-партнеров.
> А потом ломануть и перенаправить.
> И что из этого сложнее это большой вопрос.

Мне вот интересно, почему именно баннеры, а не какие-нибудь коины в фоне, как в тех же хакнутых рутерах? Ведь ЖСники в каждой новости о v8 твердят, что оно теперь вообще зашибись какое быстрое и идёт чуть ли не на уровне с сишкой (разве что памяти потребляет пока немного больше). Неужто не додумались?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

54. "В результате фишинга захвачен контроль ещё за 6 дополнениями..."  +/
Сообщение от анонимс on 16-Авг-17, 23:38 
Потому что жор процессора люди заметят и начнут искать.
Кроме того, сейчас уже и майнинг на топовых видеокартах как-то окупается только в странах с дешёвым электричеством, а в других нет. Соответственно, майнить на чём-то менее мощном - просто греть воздух без результата.
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

56. "В результате фишинга захвачен контроль ещё за 6 дополнениями..."  +/
Сообщение от Аноним (??) on 17-Авг-17, 00:56 
> Потому что жор процессора люди заметят и начнут искать.

Я же говорю - в фоне. 10-20% в современном, "тяжелом" вебе вряд ли кого-то насторожат ;)

> Кроме того, сейчас уже и майнинг на топовых видеокартах как-то окупается только
> в странах с дешёвым электричеством, а в других нет. Соответственно, майнить
> на чём-то менее мощном - просто греть воздух без результата.

Так ведь электричество майнеров "бесплатное" для распространителей дополнения.
Да и в сумме - неужели миллион пользователей на 10% (т.е. грубо округлим до сотни тысяч с полной загрузкой) хуже пары-тройки топовых карт?


Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

11. "В результате фишинга захвачен контроль ещё за 6 дополнениями..."  +2 +/
Сообщение от Аноним (??) on 16-Авг-17, 15:44 
с суммарной аудиторией более 4.8 млн пользователей.
То что многи могли использовать и то  и другое дополнение никого конечно же не волнует. Сложив просмотры всех видео на youtube высняется, что его смотрят по всей галактике
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "В результате фишинга захвачен контроль ещё за 6 дополнениями..."  –2 +/
Сообщение от Аноним (??) on 16-Авг-17, 16:14 
Чо, не окупился твой фишинг? Ну и страдай теперь.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

32. "В результате фишинга захвачен контроль ещё за 6 дополнениями..."  –2 +/
Сообщение от Аноним (??) on 16-Авг-17, 17:04 
Вы прослушали успокоительный аутотренинг от вэбмакаки.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

28. "В результате фишинга захвачен контроль ещё за 6 дополнениями..."  +/
Сообщение от Kuromi on 16-Авг-17, 16:53 
Не могу поднять одной вещи. Еще в прошлом посте на туже тему вроде было внятно сказано, что все эти разработчики - ССЗБ, не пользовались двухфакторной аутентификацией ни в какой форме (ни софтиной на андроид ни аппаратным U2F токеном). Выходит, никаких выводов не сделано?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "В результате фишинга захвачен контроль ещё за 6 дополнениями..."  +5 +/
Сообщение от Аноним (??) on 16-Авг-17, 17:06 
Ты видел хоть одну вэбмакаку, делающую выводы?
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

68. "В результате фишинга захвачен контроль ещё за 6 дополнениями..."  –1 +/
Сообщение от Аноним (??) on 20-Авг-17, 17:15 
Вы не врубаетесь. Если юзер вбивает свой пароль в левую форму, он и токен 2ФА введет туда же.
Проблема в том, что люди являются людьми и не являются машинами. Даже программисты.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

69. "В результате фишинга захвачен контроль ещё за 6 дополнениями..."  +/
Сообщение от Led (ok) on 20-Авг-17, 17:51 
> Проблема в том, что люди являются людьми и не являются машинами. Даже программисты.

Согласен. Но этот трэд не о людях-програмистах, а о вэб-макаках.

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

29. "В результате фишинга захвачен контроль ещё за 6 дополнениями..."  +/
Сообщение от Аноним (??) on 16-Авг-17, 16:57 
Меня больше волнует факт лечения. Ну вот я заразился, вижу,что лезет реклама. Куда копать, что удалять?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

49. "В результате фишинга захвачен контроль ещё за 6 дополнениями..."  +1 +/
Сообщение от Lain_13 (ok) on 16-Авг-17, 18:33 
Если у тебя одно из таких расширений — просто удали оное.
Если что-то иное, то тут уже зависти от твоей ОС. Если Винда, то попробуй AdwCleaner и Malwarebytes. Если Линукс или ещё что-то иное, то ничего не трогай — десктопная малварь под линукс находится на грани вымирания и крайне ранима. Порой помирает даже от банальной перезагрузки системы.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

60. "В результате фишинга захвачен контроль ещё за 6 дополнениями..."  +3 +/
Сообщение от ryoken (ok) on 17-Авг-17, 07:15 
> Куда копать, что удалять?

Очевидно - удалять Хром. (Возможно и Хромиум, если он стоит).

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру