GNU/Linux >> Linux Esercitazione >  >> Linux

Come posso identificare malware contenente estensioni di Chrome in Linux?

Non sono sicuro che questo sia il caso del tuo problema particolare, ma ci sono state situazioni in cui estensioni note sono state vendute a terze parti che hanno poi cooptato l'estensione per scopi nefasti. Ecco una di queste storie che discute di questo:le estensioni di Google Chrome vengono vendute a società di adware dannose.

estratto

Ron Amadeo di Ars Technica ha recentemente scritto un articolo sui fornitori di adware che acquistano estensioni di Chrome per inserire aggiornamenti dannosi e ad-injected.

Google Chrome dispone di aggiornamenti automatici per garantire che gli utenti utilizzino sempre gli ultimi aggiornamenti. Ovviamente Google Chrome viene aggiornato direttamente da Google. Tuttavia, questo processo di aggiornamento include di conseguenza le estensioni di Chrome. Le estensioni di Chrome vengono aggiornate dai proprietari dell'estensione e spetta all'utente determinare se il proprietario dell'estensione è affidabile o meno.

Quando gli utenti scaricano un'estensione, concedono al proprietario dell'estensione l'autorizzazione a inviare nuovo codice al proprio browser in qualsiasi momento.

Ciò che è inevitabilmente accaduto è che i fornitori di adware acquistano le estensioni, e quindi gli utenti, dagli autori delle estensioni. Questi fornitori stanno diffondendo adware a tutti gli utenti dell'estensione, il che può rendere pericolosa l'esperienza di navigazione.

Un autore di un'estensione di Google ha fornito il suo resoconto personale in un post sul suo blog intitolato "Ho venduto un'estensione di Chrome ma è stata una decisione sbagliata".

Il mio consiglio sarebbe di prendere molto sul serio questa situazione e disabilitare le estensioni di cui non sei sicuro. Vorrei quindi monitorare la situazione per vedere se si abbassa o continua.

Se continua, scaverei più a fondo e inizierei a esaminare attentamente i server DNS che stai utilizzando. In genere utilizzo OpenDNS proprio per questo motivo, poiché questo servizio (gratuito) tenta di contrastare i vettori di attacco reindirizzando invece le ricerche DNS a pagine OpenDNS alternative.

Perché preoccuparsi del DNS?

I server DNS OpenDNS aumenteranno intenzionalmente i risultati che restituiscono quando esegui una ricerca se un nome host è noto per essere affiliato ad attività correlate a spam/hacking/phishing. Si trovano in una posizione unica poiché eseguono le ricerche per ogni sito trafficato dai loro clienti, in modo che possano rilevare anomalie vedi qui:OPENDNS PHISHING PROTECTION, così come qui.

Cos'altro?

Mi assicurerei anche che il tuo /etc/hosts il file non è stato compromesso e continua a monitorare la situazione utilizzando qualcosa come nethog , che mostrerà quali processi stanno accedendo alla tua rete.

Amit Agarwal ha creato un'estensione Feedly per Chrome in meno di un'ora e l'ha venduta inconsapevolmente a un fornitore di adware per un'offerta a 4 cifre. L'estensione aveva più di 30.000 utenti su Chrome al momento della vendita. I nuovi proprietari hanno inviato un aggiornamento allo store di Chrome, che ha iniettato adware e link di affiliazione nell'esperienza di navigazione degli utenti. Sebbene questa estensione sia stata rimossa a causa della pubblicità che ha fatto la confessione di rimorso di Agarwal, questo è un evento molto comune nelle estensioni di Chrome.


Dai un'occhiata alle recensioni dell'estensione Smooth Gestures (collegamento diretto).

Se ordini le recensioni per data (facendo clic su Recenti ), noterai che quasi tutte le nuove recensioni hanno una valutazione a una stella e si lamentano degli annunci subdoli:

Kevin Lee 1 giorno fa

Venduto a una società di terze parti che aggiunge annunci e una funzione di pagamento per rimuovere gli annunci.

Suresh Nageswaran 3 giorni fa

Odio gli annunci. Ha funzionato bene fino a quando non ha iniziato a iniettare annunci nella mia esperienza di navigazione. Avrei pagato per continuare a usarlo, ma mi sentivo fortemente per la subdola. Confini sullo spyware.

John Smith 6 giorni fa

Non usare questo. Sta iniettando JS per fare clickjack e causa problemi di sicurezza XSS con https.

Tomas Hlavacek 23 febbraio 2014

Assoluta schifezza... Ricordi l'incidente con il furto di URL non autorizzato? Quindi hanno iniziato a costringere gli utenti a "donare" o subire annunci. Ha anche iniziato a rallentare su alcune pagine (che non era il caso prima di tutti quei "miglioramenti"). Quindi sono passato a CrxMouse e sto bene.

Kyle Barr 19 febbraio 2014

È una solida estensione per i gesti del mouse, ma i nuovi annunci sono un'aggiunta orribile. Innanzitutto perché l'estensione aggiorna e aggiunge silenziosamente gli annunci, quindi non sai da dove provengono. Qui sto scansionando il mio computer con più scanner di malware perché ricevo annunci casuali, finché non mi rendo conto che è Smooth Gestures a inserirli.

Non ci sono buoni motivi per utilizzare ancora questa estensione e personalmente mi piacerebbe sapere chi sviluppa questa estensione in modo da assicurarmi di non installare nulla da loro in futuro.

Sembra che quello sia il colpevole.


Oltre alle risposte qui, ho trovato altre risorse utili.

  1. Questo articolo di howtogeek consiglia un programma chiamato Fiddler che funge da proxy di debug web, consentendo di esaminare le richieste di rete (c'è una versione linux alpha). @slm mi ha indicato questa risposta su SO che ha anche vari programmi simili.

  2. La modalità sviluppatore in chrome://extensions di Chrome page consente di controllare ogni estensione per i processi in esecuzione in background:

    Cliccando su background.html apre la finestra degli strumenti per sviluppatori di Chrome che consente di consultare facilmente le fonti dei vari script contenuti nell'estensione. In questo caso, ho notato una cartella chiamata support nell'albero dei sorgenti di Sexy Undo Close Tab che conteneva uno script chiamato background.js che sembrava sospetto (stava generando intervalli di tempo casuali che si adattano ai miei sintomi).

  3. Questo altro articolo di howtogeek ha un elenco di estensioni conosciute da evitare, ma ancora meglio è http://www.extensiondefender.com che sembra essere un database di estensioni dannose generato dall'utente. Tuttavia, non specificano come o perché una particolare estensione è stata contrassegnata come mal- o addware, quindi forse dovrebbe essere presa con le pinze.

  4. Le persone dietro extensiondefender.com (chiunque esse siano) hanno anche sviluppato una piccola estensione molto interessante chiamata (rullo di tamburi) Extension Defender. Ciò ti consente sia di eseguire la scansione delle estensioni esistenti alla ricerca di quelle note "cattive" sia di bloccare l'installazione delle estensioni nella lista nera.

Quindi delle estensioni nel mio OP, sia Smooth Gestures (grazie @Dennis) che Sexy Undo Close Tab sono addware. Basato sul codice sorgente del support/background.js file di quest'ultimo, sono abbastanza sicuro che sia stato uno a dirottare casualmente la mia pagina corrente, ma gli darò qualche giorno per esserne sicuro.

Un'altra utile estensione è Extensions Update Notifier (grazie @Dennis) che apparentemente ti fa sapere ogni volta che un'estensione è stata aggiornata, il che potrebbe aiutare a identificare il colpevole nel caso in cui un aggiornamento abbia aggiunto questo tipo di comportamento.


Linux

  1. Come installare le estensioni del codice di Visual Studio

  2. Linux:come identificare quale distribuzione Linux è in esecuzione??

  3. Come posso automatizzare le conversioni da HTML a PDF?

  4. Come puoi identificare il chipset di un dispositivo USB in Linux?

  5. Come posso collegare simbolicamente un file in Linux?

Come installare e utilizzare le estensioni della shell GNOME in Linux

Come aggiungere un'estensione in Google Chrome

Come rimuovere file con estensione specifica in Linux

Come installare Google Chrome App Launcher in Linux

Come installare Google Chrome su Linux Mint 20 / Linux Mint 20.1

Come posso profilare il codice C++ in esecuzione su Linux?