A klasszikus módszerek még mindig jól működnek. A kérdés már csak az, hogy miért nem szigorítja biztonsági policy-jét a Google?
A Radware aktuális biztonsági jelentésében egy újabb vírus-hullám rajzolódik ki, mely ezúttal több mint 100 000 felhasználót érint. A recept most is a klasszikus sémát követi: a kártékony programkódokat böngésző kiterjesztésekbe rejtették, amit aztán gyanútlan felhasználók tömegesen töltöttek le. Az érintett kiegészítők listája így fest:
- Nigelify
- PwnerLike
- Alt-j
- Fix-case
- Divinity 2 Original Sin: Wiki Skill Popup
- keeprivate
- iHabno
A támadók a lenti képen látható módszerrel csatornázták be az áldozat számítógépét a botnet hálózatba; hamis YouTube oldalon egy vírusos kiterjesztést sóztak rá a látogatóra azzal az ürüggyel, hogy ez szükséges a videó lejátszásához. A malware nem válogatott a rendszereknél (Windows, Linux), és a Radware szerint kifejezetten a Chrome-ra utazott.
Az ördögi kör.
A kutatók arra jutottak, hogy az adatlopások (Facebook, Instagram) mellett a cryptomining (Monero, Bytecoin, Electroneum) volt a cél. Mint az a fenti képen is látszik, a sütik és a különböző login adatok eltulajdonítása is a vírusterjesztést szolgálta.
„Főldiekkel játszó Égi tűnemény” – egy hamis YouTube oldal.
Érdemes megjegyezni, hogy a kártékony alkalmazások milyen módszerekkel akadályozták meg az eltávolítást.
- Letiltották a Bővítmények lapot, így a felhasználók nem tudták onnan törölni a kiterjesztéseket.
- Szintén elérhetetlenné tették az olyan karbantartó eszközöket (cleanup tools), melyek segíthettek volna orvosolni a problémát.