Chrome a Firefox trápí doplňky-malwary, jichž je skoro nemožné se zbavit

22. 1. 2018

Sdílet

 Autor: qimono / Pixabay
Když chcete škodit, nechcete přece, aby vás někdo odinstaloval.

Výzkumný tým z bezpečnostní firmy Malwarebytes Labs upozornil na existenci velice nepříjemných malwarů pro Chrome a Firefox. Jedná se o doplňky, které vás přesměrovávají na různé podvodné výsledky vyhledávání nebo jiné stránky. Doplňky potenciálně mohou např. i špehovat vaše aktivity v prohlížeči, to ovšem tentokrát potvrzeno nebylo. Než se někdo probere zdrojovými kódy, podívejte se s námi, jak se nově objevených škodlivých doplňků (ne)zbavíte.

Tiempo en colombia en vivo

Odchod z podvodných stránek, pokud na ně narazíte, je skoro nemožný (aspoň pro běžného člověka), neboť stránka vás zaplaví upozorněním, že bez instalace doplňku není možné stránku opustit. Řad lidí je tak donucena k instalaci. A co hůř, doplněk Tiempo en colombia en vivo pro Chrome při pokusu navštívit stránku s nainstalovanými doplňky (chrome://extensions/) provedl obranu v podobě přesměrování na stránku chrome://apps/?r=extensions.

Tento konkrétní doplněk pak po instalaci uměle zvyšoval sledovanost videí na YouTubu, což si můžete ověřit v historii prohlížení. Odstranění tohoto malwaru je méně znalé obtížné. Buď vám pomůže váš antivirový software, nebo potenciálně jiný externí nástroj na odebírání doplňků z prohlížečů, tj. např. CCleaner.

Odebrat doplněk, jenž vám brání navštívit tuto stránku, je velice obtížné Odebrat doplněk, jenž vám brání navštívit tuto stránku, je velice obtížné

Výzkumník zjistil, že v boji s malwarem nepomáhá vypnutí JavaScriptu v prohlížeči, přejmenování jednoho ze souborů doplňku ani aktivace prohlížeče v režimu se všemi doplňky vypnutými. Google doplněk Tiempo en colombia en vivo ze svého katalogu odstranil až 19 dní po nahlášení. Teoreticky se s ním nadále můžete potkat na různých podvodných stránkách.

Útěk z nich může vést k již uvedenému zahlcení dialogy vyzývajícími k instalaci doplňku. Malwarebytes Labs radí otevřít nový panel klávesovou zkratkou Ctrl+T. Díky tomu vám bude umožněno zavřít panel s problémovou stránkou klepnutím myší na křížek. Google pro Ars Technicu řekl, že již toto a jedno dalších rozšíření z dotčených instalací i z katalogu odebral. Pomalou reakci nevysvětlil.

FF Helper Protection

Jiný podobně zákeřný malware firma objevila také pro Firefox. Tentokrát jde o doplněk jménem FF Helper Protection. Firefox před instalací varuje, podvodná stránka vám ale ukáže návod, jak varování ignorovat. Dále se doplněk chová podobně jako výše uvedený kousek v tom, že vás nenechá vstoupit na stránku s nainstalovanými doplňky (about:addons), odkud byste ho mohli odebrat.

Zbavíte se ho však snáze než ve Chromu. Zatímco Chrome při spuštění v režimu bez doplňků na seznamu doplňků neukazuje žádné položky, Firefox v nouzovém režimu nainstalovaný doplňky zobrazuje, ty jen nejsou aktivní. Proto když prohlížeč spustíte v nouzovém režimu, můžete škodlivý doplněk normálně odebrat. Na stránku se dostanete mj. klávesovou zkratkou Ctrl+Shift+A. Podle všeho se tento doplněk v oficiálním katalogu neobjevil.

bitcoin_skoleni

Závěr

Do jinak bezpečných prohlížečů mohou doplňky vnášet chaos a bohužel také škodlivé aktivity. I proto se ostatně Mozilla odklonila od starého typu doplňků, které mohly mít na prohlížeč velký vliv. I ty nové a funkčně omezené, jak se ukazuje, mohou napáchat škody. Chrome je dnes nejrozšířenějším prohlížečem, proto je logické, že bude pod největším útokem. O to víc se ale opět dostává do popředí otázka, zda je žádoucí, aby příchod doplňků od oficiálního katalogu nekontroloval žádný člověk.

Na to jsme poukazovali už na podzim v souvislosti s těžbou kryptoměn v prohlížečích, s čímž měla problém i Mozilla. Případy problémových doplňků se množí. Pár dní před uvedeným reportem bylo zase jiným výzkumníkem z firmy ICEBRG zjištěno, že jiný škodlivý doplněk pro Chrome si nainstalovalo zhruba půl milionu lidí.