Die Forscher fanden einen Großteil der Malware unter Firefox-Add-ons, die sich hinter dem Namen von Adobe und andere namhafte Unternehmen verstecken

Der Katalog von Add-ons für Firefox (LIEBE) eine massive Veröffentlichung von bösartigen Add-ons bemerkt hinter bekannten Projekten versteckt.

Forscher Martin Brinkmann entdeckt und getestet auf Beispiele.

Foder Instanz, im Katalog veröffentlicht Malware-Add-ons “Adobe Flash Player“, “ublock Herkunft Pro“, “EINdblock Flash Player” usw.

Da diese Add-ons aus dem Katalog entfernt, die Angreifer sofort erstellen Sie ein neues Konto und ersetzen sie durch neue Malware-Add-ons.

Zum Beispiel, vor ein paar Stunden, das Firefox-Benutzerkonto 15018635 wurde geschaffen,, unter denen die Add-ons “Youtube Adblock“, “ublock mehr“, “Adblock plus 2019” gelegen. Offenbar, die Beschreibung der gebildeten Ergänzungen, um sicherzustellen, dass sie in der Spitze auf solche Suchanfragen angezeigt werden, wie “Adobe Flash Player” und “Adobe Flash“.

Wenn Sie ein Add-on installieren, Sie sind für die Berechtigungen gefragt alle Daten auf den Websites zugreifen, die Sie gerade sind. Im Prozess der Arbeit, der Keylogger gestartet, die sendet Informationen über das Ausfüllen von Formularen und die installierten Cookies theridgeatdanbury.com Host.

Martin Brinkmann
Martin Brinkmann

„Wenn Sie die Erweiterungen herunterladen, können Sie feststellen, dass der Name der Erweiterung nicht notwendigerweise die Dateinamen heruntergeladen Übereinstimmen. Der Download wenn ublock Herkunft Pro zurück eine adpbe_flash_player-1.1-fx.xpi Datei“, - schreibt Martin Brinkmann in ghacks.net Portal.

Der Script-Code in Add-ons ist etwas anders, aber die bösartigen Aktionen, die sie durchführen, sind offensichtlich und nicht versteckt.

Wahrscheinlich, Fehlen Anwendung von Techniken für bösartige Aktivitäten zu verstecken und extrem einfachen Code macht es möglich, das automatisierte System der vorläufigen Überprüfung von Add-ons zu umgehen. Zur selben Zeit, es ist nicht klar, wie die Tatsache, dass die expliziten und nicht verborgen das Senden von Daten aus dem Add-on zu einem externen Host kann während einer automatisierten Kontrolle ignoriert werden.

Hinweis, Mozilla argumentiert, dass Einführung einer digitalen Signaturprüfung wird die Verteilung von böswilligen und Spyware-Add-ons blockieren.

gefälschte abobe Add-ons
gefälschte abobe Add-ons

Einige Add-on-Entwickler nicht mit dieser Position einverstanden sind und glauben, dass die obligatorische Überprüfung der digitalen Signatur Mechanismus schafft nur Schwierigkeiten für Entwickler und führt in der Zeit der Kommunikation Korrekturmitteilungen an Benutzer zu erhöhen, ohne die Sicherheit zu beeinträchtigen.

Viele trivial und offensichtlich Techniken System der automatischen Verifizierung von Add-ons zu umgehen ermöglichen das Einfügen heimlich schädlichen Code. Zum Beispiel, durch eine Operation im Fluge bildet, durch mehrere Linien verbinden, und die resultierende Zeichenfolge Ausführen von Eval Aufruf.

lesen Sie auch: [Makeseparatebestappclicks.top] gefälschter Adobe Flash Player-Update-Benachrichtigung Entfernung

Mozillas Position verengt sich auf die Tatsache, dass die meisten Autoren von bösartigen Add-ons ziemlich faul sind und greifen nicht auf ähnliche Techniken bösartige Aktivitäten zu verbergen.

Im Oktober 2017, ein neuer Überprüfungsprozess wurde den AMO Katalog aufgenommen. Die manuelle Überprüfung wurde durch einen automatischen Prozess ersetzt, die für das Bestehen der Prüfung in der Warteschlange von langen Wartezeiten zu befreien und erhöhte die Effizienz bei der Bereitstellung neue Probleme für die Benutzer erlaubt zu werden.

In dieser manuellen Prüfung nicht vollständig abgeschafft, und selektiv für die bereits plazierten Additionen durchgeführt. Zuschläge für die manuelle Überprüfung auf den berechneten Risikofaktoren ausgewählt basierend.

Quelle: https://www.ghacks.net

Über Trojan Mörder

Tragen Sie Trojan Killer-Portable auf Ihrem Memory-Stick. Achten Sie darauf, dass Sie in der Lage sind, Ihr PC keine Cyber-Bedrohungen widerstehen zu helfen, wo immer Sie sind.

überprüfen Sie auch

MageCart auf der Heroku Cloud Platform

Die Forscher fanden mehrere MageCart Web Skimmer Auf Heroku Cloud Platform

Forscher an Malwarebytes berichteten über mehr MageCart Web-Skimmer auf der Heroku Cloud-Plattform zu finden, …

Android Spyware CallerSpy

CallerSpy Spyware Masken als Android-Chat-Anwendung

Trend Micro Experten entdeckt die Malware CallerSpy, die Masken als Android-Chat-Anwendung, und, …

Hinterlasse eine Antwort