A klasszikus módszerek még mindig jól működnek. A kérdés már csak az, hogy miért nem szigorítja biztonsági policy-jét a Google?

Megint vírusokat fedeztek fel a Google Chrome Áruházban

A Radware aktuális biztonsági jelentésében egy újabb vírus-hullám rajzolódik ki, mely ezúttal több mint 100 000 felhasználót érint. A recept most is a klasszikus sémát követi: a kártékony programkódokat böngésző kiterjesztésekbe rejtették, amit aztán gyanútlan felhasználók tömegesen töltöttek le. Az érintett kiegészítők listája így fest:

  • Nigelify
  • PwnerLike
  • Alt-j
  • Fix-case
  • Divinity 2 Original Sin: Wiki Skill Popup
  • keeprivate
  • iHabno

A támadók a lenti képen látható módszerrel csatornázták be az áldozat számítógépét a botnet hálózatba; hamis YouTube oldalon egy vírusos kiterjesztést sóztak rá a látogatóra azzal az ürüggyel, hogy ez szükséges a videó lejátszásához. A malware nem válogatott a rendszereknél (Windows, Linux), és a Radware szerint kifejezetten a Chrome-ra utazott.

kill chainAz ördögi kör.

A kutatók arra jutottak, hogy az adatlopások (Facebook, Instagram) mellett a cryptomining (Monero, Bytecoin, Electroneum) volt a cél. Mint az a fenti képen is látszik, a sütik és a különböző login adatok eltulajdonítása is a vírusterjesztést szolgálta.

fake youtube page„Főldiekkel játszó Égi tűnemény” – egy hamis YouTube oldal.

Érdemes megjegyezni, hogy a kártékony alkalmazások milyen módszerekkel akadályozták meg az eltávolítást.

  • Letiltották a Bővítmények lapot, így a felhasználók nem tudták onnan törölni a kiterjesztéseket.
  • Szintén elérhetetlenné tették az olyan karbantartó eszközöket (cleanup tools), melyek segíthettek volna orvosolni a problémát.

Forrás: ghacks.net