GNU/Linux >> Tutoriales Linux >  >> Linux

¿Cómo puedo identificar el malware que contiene extensiones de Chrome en Linux?

No estoy seguro de si este es el caso en su problema en particular, pero ha habido situaciones en las que se han vendido buenas extensiones conocidas a terceros que luego cooptan la extensión para fines nefastos. Aquí hay una de esas historias que trata sobre esto:Las extensiones de Google Chrome se están vendiendo a compañías maliciosas de adware.

extracto

Ron Amadeo de Ars Technica escribió recientemente un artículo sobre proveedores de adware que compran extensiones de Chrome para colocar actualizaciones maliciosas inyectadas por publicidad.

Google Chrome tiene actualizaciones automáticas para asegurarse de que los usuarios siempre ejecuten las últimas actualizaciones. Obviamente, Google Chrome es actualizado directamente por Google. Sin embargo, este proceso de actualización en consecuencia incluye las extensiones de Chrome. Las extensiones de Chrome son actualizadas por los propietarios de la extensión, y depende del usuario determinar si el propietario de la extensión es confiable o no.

Cuando los usuarios descargan una extensión, le otorgan permiso al propietario de la extensión para insertar código nuevo en su navegador en cualquier momento.

Lo que inevitablemente sucedió es que los proveedores de adware están comprando las extensiones y, por lo tanto, los usuarios, a los autores de las extensiones. Estos proveedores envían software publicitario a todos los usuarios de la extensión, lo que puede resultar en una experiencia de navegación peligrosa.

El autor de una extensión de Google dio su versión personal de esto en su entrada de blog titulada "Vendí una extensión de Chrome, pero fue una mala decisión".

Mi consejo sería que se tome esta situación muy en serio y deshabilite las extensiones de las que no está seguro. Luego monitorearía la situación para ver si disminuye o continúa.

Si continúa, profundizaría más y comenzaría a examinar los servidores DNS que está utilizando. Por lo general, uso OpenDNS exactamente por este motivo, ya que este servicio (gratuito) intenta frustrar los vectores de ataque redirigiendo las búsquedas de DNS a páginas alternativas de OpenDNS.

¿Por qué preocuparse por el DNS?

Los servidores DNS de OpenDNS aumentarán intencionalmente los resultados que devuelven cuando realiza una búsqueda si se sabe que un nombre de host está afiliado a actividades relacionadas con spam/hacking/phishing. Están en una posición única, ya que realizan búsquedas para cada sitio en el que transitan sus clientes, por lo que pueden detectar anomalías que se ven aquí:OPENDNS PHISHING PROTECTION, así como aquí.

¿Qué más?

También me aseguraría de que su /etc/hosts el archivo no ha sido comprometido, y continúe monitoreando la situación usando algo como nethog , que mostrará qué procesos están accediendo a su red.

Amit Agarwal creó una extensión de Feedly para Chrome en menos de una hora y, sin saberlo, la vendió a un proveedor de Adware por una oferta de 4 cifras. La extensión tenía más de 30 000 usuarios en Chrome en el momento de la venta. Los nuevos propietarios enviaron una actualización a la tienda de Chrome, que inyectó adware y enlaces de afiliados en la experiencia de navegación de los usuarios. Si bien esta extensión se eliminó debido a la publicidad que generó la confesión arrepentida de Agarwal, este es un evento muy común en las extensiones de Chrome.


Echa un vistazo a las reseñas de la extensión Smooth Gestures (enlace directo).

Si ordena las reseñas por fecha (haciendo clic en Reciente ), verá que casi todas las reseñas nuevas tienen una calificación de una estrella y se quejan de anuncios engañosos:

Kevin Lee Hace 1 día

Vendido a una empresa de terceros que agrega anuncios y una función de pago para eliminar anuncios.

Suresh Nageswaran Hace 3 días

Odio los anuncios. Funcionó bien hasta que comenzó a inyectar anuncios en mi experiencia de navegación. Habría pagado para seguir usándolo, pero me sentía muy a gusto con el engaño. Límites en spyware.

Juan Smith Hace 6 días

No use esto. Está inyectando JS para hacer clickjack cosas y causa problemas de seguridad XSS con https.

Tomás Hlavacek 23 de febrero de 2014

Mierda absoluta... ¿Recuerdas el incidente con la URL furtiva no autorizada? Luego comenzaron a obligar a los usuarios a "donar" o sufrir anuncios. Incluso comenzó a retrasarse en ciertas páginas (que no era el caso antes de todas esas "mejoras"). Así que cambié a CrxMouse y estoy bien.

barra de kyle 19 de febrero de 2014

Es una extensión de gestos de mouse sólida, pero los nuevos anuncios son una adición horrible. Primero porque la extensión se actualiza y agrega silenciosamente los anuncios, por lo que no sabes de dónde vienen. Aquí estoy escaneando mi computadora con múltiples escáneres de malware porque recibo anuncios aleatorios, hasta que me doy cuenta de que los está insertando Smooth Gestures.

No hay una buena razón para usar esta extensión por más tiempo, y personalmente me gustaría saber quién desarrolla esta extensión para asegurarme de no instalar nada de ellos en el futuro.

Parece que ese es el culpable.


Además de las respuestas aquí, encontré algunos recursos más útiles.

  1. Este artículo de howtogeek recomienda un programa llamado Fiddler que actúa como un proxy de depuración web, lo que le permite examinar las solicitudes de red (hay una versión alfa de Linux). @slm me señaló esta respuesta en SO que también tiene varios programas similares.

  2. El modo desarrollador en chrome://extensions de Chrome La página le permite verificar cada extensión para los procesos que se ejecutan en segundo plano:

    Haciendo clic en background.html abre la ventana de herramientas para desarrolladores de Chrome, que le permite buscar fácilmente las fuentes de los diversos scripts que contiene la extensión. En este caso, noté una carpeta llamada support en el árbol de origen de Sexy Undo Close Tab que contenía un script llamado background.js eso parecía sospechoso (estaba generando intervalos de tiempo aleatorios que se ajustan a mis síntomas).

  3. Este otro artículo de howtogeek tiene una lista de extensiones conocidas que se deben evitar, pero aún mejor es http://www.extensiondefender.com, que parece ser una base de datos de extensiones maliciosas generada por el usuario. Sin embargo, no especifican cómo o por qué una extensión en particular ha sido etiquetada como malware o addware, por lo que quizás deba tomarse con cautela.

  4. Las personas detrás de extensiondefender.com (quienquiera que sean) también han desarrollado una pequeña extensión genial llamada, (redoble de tambores) Extension Defender. Esto le permite escanear sus extensiones existentes en busca de "malas" conocidas y también bloquea la instalación de extensiones en la lista negra.

Entonces, de las extensiones en mi OP, tanto Smooth Gestures (gracias @Dennis) como Sexy Undo Close Tab son addware. Basado en el código fuente del support/background.js archivo de este último, estoy bastante seguro de que uno fue el que secuestró aleatoriamente mi página actual, pero le daré unos días para estar seguro.

Otra extensión útil es Extensions Update Notifier (gracias @Dennis) que aparentemente le permite saber cada vez que se actualiza una extensión, lo que podría ayudar a identificar al culpable en caso de que una actualización agregue este tipo de comportamiento.


Linux

  1. Cómo instalar extensiones de código de Visual Studio

  2. Linux:¿cómo identificar qué distribución de Linux se está ejecutando?

  3. ¿Cómo puedo automatizar las conversiones de HTML a PDF?

  4. ¿Cómo puedo reanudar un trabajo detenido en Linux?

  5. ¿Cómo puede un kernel de Linux ser tan pequeño?

Cómo instalar y usar las extensiones de GNOME Shell en Linux

Cómo agregar una extensión en Google Chrome

Cómo eliminar archivos con extensión específica en Linux

Cómo instalar el iniciador de aplicaciones de Google Chrome en Linux

Cómo instalar Google Chrome en Linux Mint 20 / Linux Mint 20.1

¿Cómo puedo perfilar el código C++ que se ejecuta en Linux?