forum.opennet.ru

Составление сообщения

Исходное сообщение

"В результате фишинга захвачен контроль ещё за 6 дополнениями..."
Отправлено opennews, 16-Авг-17 15:04

В ходе фиксируемой в Сети фишинг-атаки злоумышленникам удалось (https://www.proofpoint.com/us/threat-insight/post/threat-act...) получить контроль ещё за шестью дополнениями к Chrome - Chrometana (https://chrome.google.com/webstore/detail/chrometana-redirec...) (644 тысячи пользователей), Infinity New Tab (https://chrome.google.com/webstore/detail/infinity-new-tab/d...) (439 тысяч пользователей), Web Paint (https://chrome.google.com/webstore/detail/web-paint/emeokgok...) (52 тысячи пользователей), Social Fixer (https://chrome.google.com/webstore/detail/social-fixer-for-f...) (180 тысяч пользователей), TouchVPN (https://chrome.google.com/webstore/detail/free-proxy-to-unbl...) (1 млн пользователей) и Betternet VPN (https://chrome.google.com/webstore/detail/betternet-unlimite...) (1.3 млн пользователей). Таким образом, за время проведения  фишинг-атаки злоумышленникам удалось получить контроль за дополнениями с суммарной аудиторией более 4.8 млн пользователей.

Метод захвата аналогичен ранее раскрытым атакам на дополнения Copyfish (https://www.opennet.ru/opennews/art.shtml?num=46945) и Web Developer (https://www.opennet.ru/opennews/art.shtml?num=46970), и также вызван невнимательным отношением разработчиков при открытии писем, написанных от лица администрации каталога Chrome App Store. После того как разработчики по недосмотру вводили свои параметры авторизации в подставной форме входа в сервисы Google, пытаясь просмотреть детали о якобы выявленной в дополнении проблеме,
злоумышленники получали доступ к учётной записи и выпускали новый выпуск дополнения, в который встраивали вредоносный код, отображающий навязчивые рекламные блоки и перехватывающий  параметры доступа к сети доставки контента Cloudflare.

Суть работы добавляемого злоумышленниками кода сводится к ожиданию как минимум 10 минут после установки или обновления дополнения, после чего с внешнего сервера осуществляется загрузка  JavaScript-файла с основным вредоносным кодом. Интересно, что для обхода блокировки по маске имя домена для загрузки кода выбирается путём вычисления MP5-хэша от текущего дня месяца и года ("wd" + md5(day + '-' + month + '-' + year) + ".win");

Загруженный код пытается перехватить параметры авторизации к Cloudflare и заменяет блоки популярных рекламных сетей на баннеры злоумышленников. Отдельно используется большой набор правил для замены рекламы на различных порносайтах и независящие от рекламной сети правила типовой замены для  33 наиболее популярных размеров баннеров (468x60, 728x90 и т.п.). Кроме замены рекламы осуществляется вывод всплывающих окон с фиктивной информацией о проблемах, перенаправляющих пользователя на сайты, участвующие в различных партнёрских программах.
URL: https://www.proofpoint.com/us/threat-insight/post/threat-act...
Новость: https://www.opennet.ru/opennews/art.shtml?num=47035

Исходное сообщение
"В результате фишинга захвачен контроль ещё за 6 дополнениями..." Отправлено opennews, 16-Авг-17 15:04
В ходе фиксируемой в Сети фишинг-атаки злоумышленникам удалось (https://www.proofpoint.com/us/threat-insight/post/threat-act...) получить контроль ещё за шестью дополнениями к Chrome - Chrometana (https://chrome.google.com/webstore/detail/chrometana-redirec...) (644 тысячи пользователей), Infinity New Tab (https://chrome.google.com/webstore/detail/infinity-new-tab/d...) (439 тысяч пользователей), Web Paint (https://chrome.google.com/webstore/detail/web-paint/emeokgok...) (52 тысячи пользователей), Social Fixer (https://chrome.google.com/webstore/detail/social-fixer-for-f...) (180 тысяч пользователей), TouchVPN (https://chrome.google.com/webstore/detail/free-proxy-to-unbl...) (1 млн пользователей) и Betternet VPN (https://chrome.google.com/webstore/detail/betternet-unlimite...) (1.3 млн пользователей). Таким образом, за время проведения фишинг-атаки злоумышленникам удалось получить контроль за дополнениями с суммарной аудиторией более 4.8 млн пользователей. Метод захвата аналогичен ранее раскрытым атакам на дополнения Copyfish (https://www.opennet.ru/opennews/art.shtml?num=46945) и Web Developer (https://www.opennet.ru/opennews/art.shtml?num=46970), и также вызван невнимательным отношением разработчиков при открытии писем, написанных от лица администрации каталога Chrome App Store. После того как разработчики по недосмотру вводили свои параметры авторизации в подставной форме входа в сервисы Google, пытаясь просмотреть детали о якобы выявленной в дополнении проблеме, злоумышленники получали доступ к учётной записи и выпускали новый выпуск дополнения, в который встраивали вредоносный код, отображающий навязчивые рекламные блоки и перехватывающий параметры доступа к сети доставки контента Cloudflare. Суть работы добавляемого злоумышленниками кода сводится к ожиданию как минимум 10 минут после установки или обновления дополнения, после чего с внешнего сервера осуществляется загрузка JavaScript-файла с основным вредоносным кодом. Интересно, что для обхода блокировки по маске имя домена для загрузки кода выбирается путём вычисления MP5-хэша от текущего дня месяца и года ("wd" + md5(day + '-' + month + '-' + year) + ".win"); Загруженный код пытается перехватить параметры авторизации к Cloudflare и заменяет блоки популярных рекламных сетей на баннеры злоумышленников. Отдельно используется большой набор правил для замены рекламы на различных порносайтах и независящие от рекламной сети правила типовой замены для 33 наиболее популярных размеров баннеров (468x60, 728x90 и т.п.). Кроме замены рекламы осуществляется вывод всплывающих окон с фиктивной информацией о проблемах, перенаправляющих пользователя на сайты, участвующие в различных партнёрских программах. URL: https://www.proofpoint.com/us/threat-insight/post/threat-act... Новость: https://www.opennet.ru/opennews/art.shtml?num=47035

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> В ходе фиксируемой в Сети фишинг-атаки злоумышленникам удалось (https://www.proofpoint.com/us/threat-insight/post/threat-actor-goes-chrome-extension-hijacking-spree) 
> получить контроль ещё за шестью дополнениями к Chrome - Chrometana (https://chrome.google.com/webstore/detail/chrometana-redirect-bing/kaicbfmipfpfpjmlbpejaoaflfdnabnc?hl=en) 
> (644 тысячи пользователей), Infinity New Tab (https://chrome.google.com/webstore/detail/infinity-new-tab/dbfmnekepjoapopniengjbcpnbljalfg?hl=en) 
> (439 тысяч пользователей), Web Paint (https://chrome.google.com/webstore/detail/web-paint/emeokgokialpjadjaoeiplmnkjoaegng) 
> (52 тысячи пользователей), Social Fixer (https://chrome.google.com/webstore/detail/social-fixer-for-facebook/ifmhoabcaeehkljcfclfiieohkohdgbb?hl=en) 
> (180 тысяч пользователей), TouchVPN (https://chrome.google.com/webstore/detail/free-proxy-to-unblock-any/bihmplhobchoageeokmgbdihknkjbknd?hl=en) 
> (1 млн пользователей) и Betternet VPN (https://chrome.google.com/webstore/detail/betternet-unlimited-free/gjknjjomckknofjidppipffbpoekiipm?hl=en) 
> (1.3 млн пользователей). Таким образом, за время проведения  фишинг-атаки злоумышленникам 
> удалось получить контроль за дополнениями с суммарной аудиторией более 4.8 млн 
> пользователей.

> Метод захвата аналогичен ранее раскрытым атакам на дополнения Copyfish (https://www.opennet.ru/opennews/art.shtml?num=46945) 
> и Web Developer (https://www.opennet.ru/opennews/art.shtml?num=46970), и также вызван 
> невнимательным отношением разработчиков при открытии писем, написанных от лица администрации 
> каталога Chrome App Store. После того как разработчики по недосмотру вводили 
> свои параметры авторизации в подставной форме входа в сервисы Google, пытаясь 
> просмотреть детали о якобы выявленной в дополнении проблеме, 
> злоумышленники получали доступ к учётной записи и выпускали новый выпуск дополнения, в 
> который встраивали вредоносный код, отображающий навязчивые рекламные блоки и перехватывающий 
>  параметры доступа к сети доставки контента Cloudflare.

> Суть работы добавляемого злоумышленниками кода сводится к ожиданию как минимум 10 минут 
> после установки или обновления дополнения, после чего с внешнего сервера осуществляется 
> загрузка  JavaScript-файла с основным вредоносным кодом. Интересно, что для обхода 
> блокировки по маске имя домена для загрузки кода выбирается путём вычисления 
> MP5-хэша от текущего дня месяца и года ("wd" + md5(day + 
> '-' + month + '-' + year) + ".win");

> Загруженный код пытается перехватить параметры авторизации к Cloudflare и заменяет блоки 
> популярных рекламных сетей на баннеры злоумышленников. Отдельно используется большой 
> набор правил для замены рекламы на различных порносайтах и независящие от 
> рекламной сети правила типовой замены для  33 наиболее популярных размеров 
> баннеров (468x60, 728x90 и т.п.). Кроме замены рекламы осуществляется вывод всплывающих 
> окон с фиктивной информацией о проблемах, перенаправляющих пользователя на сайты, участвующие 
> в различных партнёрских программах.

> URL: https://www.proofpoint.com/us/threat-insight/post/threat-actor-goes-chrome-extension-hijacking-spree 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=47035

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру