Вредоносные расширения для Chrome используют для атак скрипты session replay - «Новости»
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
3-02-2018, 15:00
Вредоносные расширения для Chrome используют для атак скрипты session replay - «Новости»
Рейтинг:
Категория: Новости

В конце 2017 года эксперты из Принстонского университета опубликовали интересное научное исследование, согласно которому, сотни сайтов, входящих в число 50 000 самых посещаемых ресурсов по версии Alexa, следят за каждым шагом своих посетителей, а зачастую и вовсе работают как кейлоггеры.


Тогда исследователи объясняли, что слежка реализована посредством специальных скриптов (session replay scripts), предоставляемых владельцам ресурсов сторонними аналитическими сервисами. Изначально такие инструменты предназначались для улучшения user experience, позволяли компаниям лучше узнать своих пользователей и лучше подстроится под их нужды. Однако такие скрипты, в сущности, позволяют  повторно воспроизвести всю сессию пользователя, включая каждый его клик, прокрутку и нажатия клавиш. Наиболее распространенными и навязчивыми исследователи называли replay-скрипты шести сервисов, среди которых были решения компаний FullStory, Hotjar, «Яндекс» и Smartlook.


Теперь специалисты издания Bleeping Computer и аналитики компании Trend Micro обнаружили новый виток данной проблемы. Как оказалось, session replay скрипты уже взяли на вооружение злоумышленники, занимающиеся разработкой расширений для браузера Chrome.





Эксперты Trend Micro рассказывают, что вредоносные расширения образуют немалый ботнет Droidclub, который внедряет рекламу на страницы посещаемых пострадавшими сайтов, а ранее он и вовсе майнил криптовалюту Monero. Суммарно специалисты обнаружили в Chrome Web Store 89 таких вредоносных расширений, от которых пострадали 423 992 пользователя.


Хотя инженеры Google уже удалили эти расширения из каталога, список вредоносных дополнений можно увидеть здесь (PDF). Исследователи Bleeping Computer обнаружили еще несколько расширений, дополнив список Trend Micro, и опубликовали инструкции по их удалению (Strawberry Daiquiri Cocktail, BrowserWatch, 11 Pumpkin Flavored Foods, To Deodorize Laundry).


Известно, что первые расширения Droidclub появились в каталоге Chrome Web Store в апреле 2017 года, и еще в ноябре 2017 года оператора вредоносной кампании продолжали добавлять к своему арсеналу новые расширения. Сообщается, что компания Cloudflare уже избавилась от управляющих серверов злоумышленников.



Вредоносные расширения для Chrome используют для атак скрипты session replay - «Новости»


Однако, как было сказано выше, помимо майнинга и рекламы операторы Droidclub эксплуатировали и легитимные session replay скрипты, как наглядно показано на схеме атаки выше. Так, специалисты обнаружили, что при помощи «Яндекс Метрики» злоумышленники могли в буквальном смысле отслеживать каждый шаг своих жертв. Хотя replay-скрипты сервиса не позволяют перехватывать текст, введенный поле ввода пароля, они «запоминают» детали из других полей различных форм: имена, номера кредитных карт, номера CVV, email-адреса, телефонные номера. Гифка ниже демонстрирует возможности атакующих во всей красе.





Эксперты пишут, что вредоносные расширения распространялись преимущественно через вредоносную рекламу и социальную инженерию. Так, пользователям демонстрировали фальшивое окно с запросом на установку расширения (см. иллюстрацию ниже), и если жертва соглашалась, происходило заражение.





Исследователи напоминают пользователям, что в таких случаях не нужно нажимать на все кнопки подряд и, тем более, не следует устанавливать предложенное подозрительное ПО. В подобной ситуации лучше всего просто закрыть вкладку.


Источник новостиgoogle.com

В конце 2017 года эксперты из Принстонского университета опубликовали интересное научное исследование, согласно которому, сотни сайтов, входящих в число 50 000 самых посещаемых ресурсов по версии Alexa, следят за каждым шагом своих посетителей, а зачастую и вовсе работают как кейлоггеры. Тогда исследователи объясняли, что слежка реализована посредством специальных скриптов (session replay scripts), предоставляемых владельцам ресурсов сторонними аналитическими сервисами. Изначально такие инструменты предназначались для улучшения user experience, позволяли компаниям лучше узнать своих пользователей и лучше подстроится под их нужды. Однако такие скрипты, в сущности, позволяют повторно воспроизвести всю сессию пользователя, включая каждый его клик, прокрутку и нажатия клавиш. Наиболее распространенными и навязчивыми исследователи называли replay-скрипты шести сервисов, среди которых были решения компаний FullStory, Hotjar, «Яндекс» и Smartlook. Теперь специалисты издания Bleeping Computer и аналитики компании Trend Micro обнаружили новый виток данной проблемы. Как оказалось, session replay скрипты уже взяли на вооружение злоумышленники, занимающиеся разработкой расширений для браузера Chrome. Эксперты Trend Micro рассказывают, что вредоносные расширения образуют немалый ботнет Droidclub, который внедряет рекламу на страницы посещаемых пострадавшими сайтов, а ранее он и вовсе майнил криптовалюту Monero. Суммарно специалисты обнаружили в Chrome Web Store 89 таких вредоносных расширений, от которых пострадали 423 992 пользователя. Хотя инженеры Google уже удалили эти расширения из каталога, список вредоносных дополнений можно увидеть здесь (PDF). Исследователи Bleeping Computer обнаружили еще несколько расширений, дополнив список Trend Micro, и опубликовали инструкции по их удалению (Strawberry Daiquiri Cocktail, BrowserWatch, 11 Pumpkin Flavored Foods, To Deodorize Laundry). Известно, что первые расширения Droidclub появились в каталоге Chrome Web Store в апреле 2017 года, и еще в ноябре 2017 года оператора вредоносной кампании продолжали добавлять к своему арсеналу новые расширения. Сообщается, что компания Cloudflare уже избавилась от управляющих серверов злоумышленников. Однако, как было сказано выше, помимо майнинга и рекламы операторы Droidclub эксплуатировали и легитимные session replay скрипты, как наглядно показано на схеме атаки выше. Так, специалисты обнаружили, что при помощи «Яндекс Метрики» злоумышленники могли в буквальном смысле отслеживать каждый шаг своих жертв. Хотя replay-скрипты сервиса не позволяют перехватывать текст, введенный поле ввода пароля, они «запоминают» детали из других полей различных форм: имена, номера кредитных карт, номера CVV, email-адреса, телефонные номера. Гифка ниже демонстрирует возможности атакующих во всей красе. Эксперты пишут, что вредоносные расширения распространялись преимущественно через вредоносную рекламу и социальную инженерию. Так, пользователям демонстрировали фальшивое окно с запросом на установку расширения (см. иллюстрацию ниже), и если жертва соглашалась, происходило заражение. Исследователи напоминают пользователям, что в таких случаях не нужно нажимать на все кнопки подряд и, тем более, не следует устанавливать предложенное подозрительное ПО. В подобной ситуации лучше всего просто закрыть вкладку. Источник новости - google.com

Теги: CSS, расширения replay специалисты лучше своих

Просмотров: 1 087
Комментариев: 0:   3-02-2018, 15:00
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: