На прошлой неделе компания Google удалила вредоносное расширение Chrome из своего магазина и с устройств пользователей после того, как проблему упомянул в открытом доступе популярный автор в Twitter. А всего через день система безопасности Google упустила еще два подозрительных плагина.

Популярный в Twitter аккаунт Swift on Security следил за развитием этих событий со вторника – тогда он сообщил, что расширение, которое выдает себя за Adblock Plus, было скачано уже около 38 000 раз, но до сих пор доступно в интернет-магазине Chrome.

Плагин был доступен как минимум с 22 сентября. С помощью десятков ключевых слов он привлекал пользователей на свою страницу в интернет-магазине Chrome. В понедельник представители Chrome написали на форуме Chromium: «Подробно изучив проблему, мы обнаружили ряд других похожих прецедентов, связанных с этой же кампанией, которые были успешно заблокированы. Этому приложению удалось найти брешь в системах безопасности, но мы уже выявили причину и работаем над проблемой».

В среду Swift on Security сообщил еще о двух поддельных расширениях AdBlock Plus в том же магазине. На странице одного из них была указана ложная информация о том, что его скачали более 10 млн раз. Согласно Swift on Security, злоумышленники добавили в название расширения кириллические символы в кодировке Unicode, и именно фильтры Google снова просмотрели вредоносные плагины.

«Нужно прекратить использовать Unicode, пока мы не возьмем ситуацию с ним под контроль, — пишет Swift on Security. — Больше никакого Unicode».

В апреле вышло обновление Chrome 58 с патчем для уязвимости Punycode, которая упрощала фишинговые атаки с помощью доменов в Unicode. Об этой проблеме частным образом сообщил Google еще в январе китайский исследователь Сюйдун Чжен (Xudong Zheng), обнаруживший, как в Unicode использовать буквы кириллицы и греческого алфавита для имитации латиницы и заставить пользователей думать, что они переходят на защищенный домен.

В сентябре исследователь Анкит Анубав (Ankit Anubhav) выяснил, что злоумышленники распространяли троянец Beta Bot, имитируя имя домена Adobe: adoḅe[.]com (обратите внимание на символ, использованный вместо «b»). Этот домен перенаправлял пользователей на загрузочный файл, который вместо Flash Player устанавливал вредоносное программное обеспечение.

В прошлый понедельник представители Google сообщили, что специалисты компании удалили вредоносное расширение из магазина Chrome и с устройств пользователей через считаные минуты после предупреждения. А во вторник в течение пары часов была побеждена и вторая волна поддельных расширений.

«Мы понимаем, что эта проблема гораздо шире, чем инцидент с единственным приложением, — говорят представители Google. — Мы не можем сейчас публично обсуждать меры, которые планируем принять (иначе злоумышленники воспользуются этой информацией, чтобы обойти наши защитные средства), но хотели бы уверить вас, что работаем над проблемой, ведь мы всегда стремимся совершенствовать нашу систему безопасности и защитить пользователей от вредоносных приложений и расширений Chrome».

Категории: Кибероборона, Уязвимости