GNU/Linux >> Belajar Linux >  >> Linux

Bagaimana cara mengidentifikasi malware yang berisi ekstensi Chrome di Linux?

Saya tidak yakin apakah ini yang terjadi pada masalah khusus Anda, tetapi ada situasi di mana ekstensi bagus yang diketahui telah dijual ke pihak ke-3 yang kemudian mengkooptasi ekstensi untuk tujuan jahat. Berikut adalah salah satu kisah yang membahas hal ini:Ekstensi Google Chrome Dijual ke Perusahaan Adware Berbahaya.

kutipan

Ron Amadeo dari Ars Technica baru-baru ini menulis artikel tentang vendor adware yang membeli ekstensi Chrome untuk menempatkan pembaruan berbahaya yang disuntikkan iklan.

Google Chrome memiliki pembaruan otomatis untuk memastikan bahwa pengguna selalu menggunakan pembaruan terbaru. Jelas, Google Chrome diperbarui langsung oleh Google. Namun, proses pembaruan ini secara konsekuen menyertakan ekstensi Chrome. Ekstensi Chrome diperbarui oleh pemilik ekstensi, dan terserah pengguna untuk menentukan apakah pemilik ekstensi dapat dipercaya atau tidak.

Saat pengguna mengunduh ekstensi, mereka memberikan izin kepada pemilik ekstensi untuk mendorong kode baru ke browser mereka kapan saja.

Apa yang pasti terjadi adalah bahwa vendor adware membeli ekstensi, dan oleh karena itu pengguna, dari pembuat ekstensi. Vendor ini menyebarkan adware ke setiap pengguna ekstensi, yang dapat menimbulkan pengalaman menjelajah yang berbahaya.

Seorang penulis ekstensi Google memberikan akun pribadinya tentang hal ini di postingan blognya yang berjudul, “Saya Menjual Ekstensi Chrome, tetapi itu adalah keputusan yang buruk”.

Saran saya adalah menanggapi situasi ini dengan sangat serius dan menonaktifkan ekstensi yang tidak Anda yakini. Saya kemudian akan memantau situasi untuk melihat apakah mereda atau berlanjut.

Jika terus berlanjut maka saya akan menggali lebih dalam dan mulai meneliti server DNS yang Anda gunakan. Saya biasanya menggunakan OpenDNS untuk alasan yang tepat ini, karena layanan ini (gratis) mencoba menggagalkan vektor serangan dengan mengalihkan pencarian DNS ke halaman OpenDNS alternatif.

Mengapa peduli dengan DNS?

Server DNS OpenDNS akan dengan sengaja menambah hasil yang mereka kembalikan saat Anda melakukan pencarian jika nama host diketahui berafiliasi dengan aktivitas terkait spam/peretasan/phishing. Mereka berada dalam posisi yang unik karena melakukan pencarian untuk setiap situs yang dikunjungi pelanggan mereka, sehingga mereka dapat mendeteksi anomali (lihat di sini:PERLINDUNGAN PHISHING OPENDNS, serta di sini.

Apa lagi?

Saya juga akan memastikan bahwa /etc/hosts Anda file belum disusupi, dan terus pantau situasi menggunakan sesuatu seperti nethog , yang akan menunjukkan proses mana yang mengakses jaringan Anda.

Amit Agarwal membuat ekstensi Feedly untuk Chrome dalam waktu kurang dari satu jam dan tanpa sadar menjualnya ke vendor Adware untuk penawaran 4 angka. Ekstensi tersebut memiliki 30.000+ pengguna di Chrome pada saat penjualan. Pemilik baru mendorong pembaruan ke toko Chrome, yang menyuntikkan adware dan tautan afiliasi ke dalam pengalaman menjelajah pengguna. Meskipun ekstensi ini telah dihapus karena publisitas yang dibuat oleh pengakuan penyesalan Agarwal, ini adalah peristiwa yang sangat umum di ekstensi Chrome.


Lihat ulasan ekstensi Gerakan Halus (tautan langsung).

Jika Anda mengurutkan ulasan menurut tanggal (dengan mengeklik Terbaru ), Anda akan melihat bahwa hampir semua ulasan baru memiliki peringkat satu bintang dan mengeluh tentang iklan curang:

Kevin Lee 1 hari yang lalu

Dijual ke perusahaan pihak ketiga yang menambahkan iklan, dan fitur iklan bayar untuk menghapus.

Suresh Nageswaran 3 hari yang lalu

Benci iklannya. Bekerja dengan baik sampai mulai menyuntikkan iklan ke dalam pengalaman menjelajah saya. Saya akan membayar untuk terus menggunakannya, tetapi saya sangat merasakan kelicikannya. Garis batas pada spyware.

John Smith 6 hari yang lalu

Jangan gunakan ini. Itu menyuntikkan JS ke hal-hal clickjack dan menyebabkan masalah keamanan XSS dengan https.

Tomas Hlavacek 23 Februari 2014

Benar-benar omong kosong... Ingat insiden penyelinapan URL yang tidak sah? Kemudian mereka mulai memaksa pengguna untuk "menyumbang" atau menderita iklan. Itu bahkan mulai tertinggal di halaman tertentu (yang tidak terjadi sebelum semua "perbaikan" itu). Jadi saya telah beralih ke CrxMouse dan saya baik-baik saja.

kyle barr 19 Februari 2014

Ini adalah ekstensi gerakan mouse yang solid, tetapi iklan baru merupakan tambahan yang mengerikan. Pertama karena ekstensi memperbarui dan menambahkan iklan secara diam-diam, jadi Anda tidak tahu dari mana asalnya. Di sini saya memindai komputer saya dengan beberapa pemindai malware karena saya mendapatkan iklan acak, sampai saya menyadari bahwa itu adalah Gerakan Halus yang memasukkannya.

Tidak ada alasan bagus untuk menggunakan ekstensi ini lagi, dan secara pribadi saya ingin tahu siapa yang mengembangkan ekstensi ini sehingga saya dapat memastikan untuk tidak menginstal apa pun dari mereka di masa mendatang.

Sepertinya itu pelakunya.


Selain jawaban di sini, saya menemukan beberapa referensi yang berguna.

  1. Artikel howtogeek ini merekomendasikan sebuah program bernama Fiddler yang bertindak sebagai proxy debugging web, memungkinkan Anda untuk memeriksa permintaan jaringan (ada versi alpha linux). @slm mengarahkan saya ke jawaban ini di SO yang juga memiliki berbagai program serupa.

  2. Mode pengembang di chrome://extensions chrome halaman memungkinkan Anda untuk memeriksa setiap ekstensi untuk proses yang berjalan di latar belakang:

    Mengklik background.html membuka jendela alat pengembang chrome yang memungkinkan Anda untuk dengan mudah melihat sumber dari berbagai skrip yang berisi ekstensi. Dalam hal ini, saya melihat folder bernama support di pohon sumber Sexy Undo Close Tab yang berisi skrip bernama background.js yang tampak mencurigakan (menghasilkan interval waktu acak yang sesuai dengan gejala saya).

  3. Artikel howtogeek lainnya ini memiliki daftar ekstensi yang diketahui untuk dihindari, tetapi yang lebih baik adalah http://www.extensiondefender.com yang tampaknya merupakan basis data ekstensi berbahaya yang dibuat pengguna. Namun, mereka tidak menentukan bagaimana atau mengapa ekstensi tertentu telah ditandai sebagai malware atau addware, jadi mungkin itu harus diambil dengan sebutir garam.

  4. Orang-orang di belakang extensiondefender.com (siapa pun mereka) juga telah mengembangkan ekstensi kecil yang sangat keren bernama, (drumroll) Extension Defender. Ini memungkinkan Anda memindai ekstensi yang ada untuk mengetahui ekstensi yang "buruk" dan juga memblokir ekstensi yang masuk daftar hitam agar tidak dipasang.

Jadi dari ekstensi di OP saya, Smooth Gestures (terima kasih @Dennis) dan Sexy Undo Close Tab adalah addware. Berdasarkan kode sumber dari support/background.js file yang terakhir, saya cukup yakin bahwa salah satunya adalah yang secara acak membajak halaman saya saat ini, tetapi saya akan memberikan waktu beberapa hari untuk memastikannya.

Ekstensi lain yang berguna adalah Pemberitahu Pembaruan Ekstensi (terima kasih @Dennis) yang tampaknya memberi tahu Anda setiap kali ekstensi telah diperbarui yang dapat membantu mengidentifikasi pelakunya jika pembaruan menambahkan jenis perilaku ini.


Linux

  1. Bagaimana Anda bisa mengidentifikasi chipset perangkat usb di Linux?

  2. Bagaimana saya bisa menghubungkan file di Linux?

  3. Bagaimana kernel linux bisa sangat kecil?

  1. Bagaimana cara mengotomatiskan konversi HTML-ke-PDF?

  2. Bagaimana saya bisa menghapus jenkins sepenuhnya dari linux

  3. Bagaimana saya bisa mengidentifikasi proses mana yang membuat lalu lintas UDP di Linux?

  1. Bagaimana saya bisa membenarkan teks biasa di Linux?

  2. Bagaimana saya bisa melanjutkan pekerjaan yang berhenti di Linux?

  3. Bagaimana saya bisa mencari nama pengguna dengan id di linux?