Таныг залхаадаг зар сурталчилгааг хаах, төлөвлөгөөт хийх зүйлсийн жагсаалт хөтөлж, үсгийн алдаагаа шалгахыг хүсч байгаа эсэхээс үл хамааран веб хөтчийн өргөтгөлүүд нь дээрх болон бусад зүйлийг хийх боломжийг олгодог бөгөөд энэ нь тав тухтай байдал, бүтээмж, үр ашгийг дээшлүүлэх боломжийг олгодог учраас тэд маш их алдартай байдаг. Chrome, Safari, Mozilla болон бусад олон томоохон вэб хөтчүүд нь мянга мянган өргөтгөлүүдийг (extension) түгээх өөрийн онлайн дэлгүүртэй бөгөөд хамгийн алдартай өргөтгөлүүд нь 10 сая гаруй хэрэглэгчдэд хүрдэг. Гэсэн хэдий ч өргөтгөлүүд нь таны бодож байгаа шиг үргэлж аюулгүй байдаггүй. Гэм зэмгүй мэт харагдах нэмэлт өргөтгөлүүд ч гэсэн жинхэнэ эрсдэлтэй байж болно.
Хөтөчийн нэмэлтүүд нь янз бүрийн насны хүмүүсийн дунд эрэлт хэрэгцээтэй байдаг. Жишээлбэл, хүүхдүүд хөтөч дээрээ виртуал тэжээвэр амьтдыг нэмж болно, харин насанд хүрэгчид ихэвчлэн бүтээмжийн хяналт, цаг хугацаа тоолох хэрэгсэл илүүд үздэг
Юуны өмнө, гэмгүй мэт харагдах өргөтгөл болгон үнэн хэрэгтээ гэмгүй биш юм. Хортой болон хүсээгүй нэмэлтүүд нь өөрсдийгөө ашигтай гэж сурталчлах бөгөөд ихэвчлэн хууль бус функцүүдийн хамт хууль ёсны функцуудыг хэрэгжүүлдэг. Тэдгээрийн зарим нь бүр түгээмэл хууль ёсны өргөтгөлийн дүрийг бүтээж болох бөгөөд тэдний хөгжүүлэгчид хайлтын түлхүүр үгсийг бөглөж, өргөтгөл нь хөтчийн өргөтгөлийн дэлгүүрийн дээд талд харагдах болно.
Хортой, хүсээгүй нэмэлтүүдийг ихэвчлэн албан ёсны зах зээлээр дамжуулан түгээдэг. 2020 онд Google өөрийн Chrome вэб дэлгүүрээс 106 хөтчийн өргөтгөлийг устгасан. Эдгээрийг бүгдийг нь күүки/cookie, нууц үг гэх мэт хэрэглэгчийн нууц мэдээллийг задлах, тэр ч байтугай дэлгэцийн агшинг зураг болгон авахад ашигласан байна. Эдгээр хортой өргөтгөлүүдийг нийтдээ 32 сая удаа татсан байна. Эдгээр халдлагын хохирогчид нь хувь хүмүүс төдийгүй аж ахуйн нэгжүүд байсан. Нийтдээ 100 гаруй сүлжээг урвуулан ашигласан нь санхүүгийн үйлчилгээний пүүсүүд, газрын тос, байгалийн хийн компаниуд, эрүүл мэнд, эмийн үйлдвэрүүд, засгийн газар болон бусад байгууллагуудад аюул заналхийлсэн этгээдүүдэд нөлөөлжээ. Албан ёсны дэлгүүрт ч татаж авах боломжтой өөр нэг хортой Google Chrome өргөтгөл нь вэб маягтанд оруулсан төлбөрийн картын мэдээллийг таньж, хулгайлж чаддаг. Google үүнийг Chrome вэб дэлгүүрээс устгасан боловч уг хортой програм нь Chrome-ын 400 гаруй хэрэглэгчдэд аль хэдийн халдварлаж, тэдний өгөгдлийг асар их эрсдэлд оруулжээ.
Зарим үед хэрэглэгч дэлгүүрээс суулгасан өргөтгөл ямар зөвшөөрөл хүсч байгааг хараад эрсдэлийг үнэлж болно. Хэрэв та нэмэлт нь онолын хувьд шаардлагатай хэмжээнээс хамаагүй илүү зөвшөөрөл хүсч байгааг харвал энэ нь санаа зовоох ноцтой шалтгаан болно. Жишээлбэл, ердийн хөтчийн тооцоолуур нь таны газарзүйн байршил эсвэл хайлтын түүх рүү нэвтрэх шаардлагатай эсвэл хуудасны дэлгэцийн агшинг зураг болгон авахыг хүсч байвал үүнийг огт татаж авахгүй байх нь дээр юм.
Гэсэн хэдий ч өргөтгөлийн зөвшөөрлийг шинжлэх нь үргэлж тус болохгүй. Ихэнхдээ хөтчөөс өгсөн үг хэллэг нь маш тодорхой бус байдаг тул өргөтгөл хэр найдвартай болохыг хэлэх боломжгүй юм. Жишээлбэл, үндсэн өргөтгөлүүдэд ихэвчлэн "таны зочилдог вэб сайт дээрх бүх өгөгдлийг уншиж, өөрчлөх" зөвшөөрөл шаардлагатай байдаг. Тэд зөв ажиллахын тулд үнэхээр хэрэгтэй байж болох ч энэ зөвшөөрөл нь тэдэнд асар их боломжийг өгөх боломжтой.
Өргөтгөлүүд нь хортой функцгүй байсан ч аюултай байж болно. Олон өргөтгөлүүд "бүх вэбсайт дээрх бүх өгөгдлийг унших" боломжтой болсны дараа хэрэглэгчдийн зочилдог вэб хуудаснаас асар их хэмжээний өгөгдлийг цуглуулдагтай холбоотой аюул бий. Илүү их мөнгө олохын тулд зарим хөгжүүлэгчид үүнийг гуравдагч этгээдэд дамжуулах эсвэл зар сурталчлагчдад зарж болно. Асуудал нь заримдаа энэ өгөгдөл нь хангалттай нууцлагдаагүй байдаг тул хортой бус өргөтгөлүүд ч гэсэн ямар вэб сайтад зочилдог, тэнд юу хийж байгааг харах ёсгүй хэн нэгэнд тэдний мэдээллийг ил болгож хэрэглэгчдэд хор хөнөөл учруулж болзошгүй юм.
Ердийн зөв бичгийн алдаа шалгагч "бүх вэб сайт дээрх таны бүх өгөгдлийг уншиж, өөрчлөх" зөвшөөрөл хүсдэг бөгөөд энэ нь эрсдэл үүсгэж болзошгүй юм.
Нэмж дурдахад, өргөтгөл хөгжүүлэгчид эцсийн хэрэглэгчээс ямар нэгэн үйлдэл хийхгүйгээр шинэчлэлтүүдийг гаргах боломжтой бөгөөд энэ нь хууль ёсны өргөтгөл хүртэл хожим нь хортой програм эсвэл хүсээгүй програм хангамж болж хувирах боломжтой гэсэн үг юм. Жишээлбэл, фишинг халдлагын дараа алдартай нэмэлт программыг хөгжүүлэгчийн данс хулгайлагдах үед сая сая хэрэглэгчид өөрсдийн мэдэлгүйгээр төхөөрөмж дээрээ зар сурталчилгааны програмыг хүлээн авсан байна. Заримдаа хөгжүүлэгчид хөтөчийн өргөтгөлийг асар их дагагчтай болсны дараа зардаг. Луйварчид өргөтгөлийг худалдаж авсны дараа түүнийг хортой эсвэл хүсээгүй функцээр шинэчлэх боломжтой бөгөөд энэ шинэчлэлтийг хэрэглэгчдэд хүргэх болно. Ийнхүү Particle нэртэй суулгасан өргөтгөлийг шинэ хөгжүүлэгчдэд зарж, дараа нь вэбсайтад зар сурталчилгаа оруулах зорилгоор өөрчилсний дараа 30,000 гаруй хэрэглэгчид хүсээгүй зар сурталчилгааны програмтай болсон байна.
Арга зүй
Энэхүү судалгаагаар бид вэб хөтчийн ашигтай өргөтгөлүүдийг дуурайдаг янз бүрийн аюул заналхийлэл, тэдгээрт халдсан хэрэглэгчдийн тоог ажигласан. Энэ зорилгоор бид Касперскийн хэрэглэгчдийн сайн дураар хуваалцсан кибер аюултай холбоотой үл мэдэгдэх өгөгдлийг боловсруулах систем болох Kaspersky Security Network (KSN)-ийн 2020 оны 1-р сараас 2022 оны 6-р сарын хоорондох аюулын статистикт дүн шинжилгээ хийсэн. Нэмж дурдахад бид эдгээрийн дэлгэрэнгүй шинж чанаруудыг бэлтгэсэн. Хөтчийн нэмэлт болгон нуугдаж буй дөрвөн алдартай аюул заналхийлэл, тэдгээр нь ямар аппликейшнүүдийг дуурайж болох, хэрэглэгчдэд ямар аюул учруулж болох тухай жишээнүүдтэй.
Гол олдворууд
- Энэ оны эхний хагаст 1,311,557 хэрэглэгч дор хаяж нэг удаа хортой эсвэл хүсээгүй өргөтгөлүүдийг татаж авахыг оролдсон нь өнгөрсөн жилийн туршид ижил аюулд өртсөн хэрэглэгчдийн 70 гаруй хувийг эзэлж байна.
- 2020 оны 1-р сараас 2022 оны 6-р сар хүртэл 4.3 сая гаруй өвөрмөц хэрэглэгчид вэб хөтчийн өргөтгөлд нуугдаж байгаа зар сурталчилгааны халдлагад өртсөн нь нийт хэрэглэгчдийн 70 орчим хувь нь хортой болон хүсээгүй нэмэлтүүдэд өртсөн байна.
- 2022 оны эхний хагаст хамгийн нийтлэг аюул занал нь хайлтын асуулга цуглуулж, дүн шинжилгээ хийх, хэрэглэгчдийг түншлэлийн холбоос руу дахин чиглүүлэх боломжтой зар сурталчилгааны програм хангамжийн өргөтгөлийн WebSearch гэр бүл байв.
Хөтөчийн өргөтгөлийн аюул: тоогоор
2020 оны эхнээс Касперскийн бүтээгдэхүүнүүд 6,057,308 хэрэглэгчдийг хөтчийн өргөтгөлөөр далдлагдсан хортой программ, зар сурталчилгаа, эрсдэлт програмыг татаж авахаас сэргийлсэн байна. Шинжилгээнд хамрагдсан хугацаанд ийм хэрэглэгчдийн тоо 2020 онд дээд цэгтээ хүрч 3,660,236-д хүрсэн нь бидний дүгнэлтээс харагдаж байна. 2021 онд нөлөөлөлд өртсөн хэрэглэгчдийн тоо хоёр дахин буурч, 1,823,263 өвөрмөц хэрэглэгч хортой эсвэл хүсээгүй өргөтгөлүүдийг татаж авахыг оролдож байгааг бид харсан. Энэ жил 1-р улиралд 1,311,557 хэрэглэгч дор хаяж нэг удаа хортой, хүсээгүй өргөтгөлүүдийг татаж авахыг оролдсон болохыг харуулж байна. Энэ нь 2022 он дуусахад зургаан сар үлдэж байгаа хэдий ч өнгөрсөн жилийн турш нөлөөлөлд өртсөн хэрэглэгчдийн 70 гаруй хувийг эзэлж байна.
Хортой эсвэл хүсээгүй хөтчийн өргөтгөлүүдэд өртсөн өвөрмөц хэрэглэгчдийн тоо
Манай телеметрийн мэдээлснээр хөтчийн өргөтгөлөөр халхавчлан тархдаг хамгийн түгээмэл аюул бол хэрэглэгчийн туршлагыг сайжруулахаас илүүтэй түншүүдийг сурталчлах зорилготой adware буюу хүсээгүй програм хангамж юм. Ийм зар сурталчилгаа нь ихэвчлэн хэрэглэгчийн сонирхолд нийцүүлэн хөтчийн түүх дээр тулгуурлан зар сурталчилгааны програм хөгжүүлэгчид мөнгө олдог түншлэлийн хуудсууд руу чиглүүлдэг эсвэл вэб хуудсанд түншлэлийн баннер, холбоосыг оруулдаг. 2020 оны 1-р сараас 2022 оны 6-р сар хүртэл бид 4.3 сая гаруй өвөрмөц хэрэглэгчдийг хөтчийн өргөтгөлүүдэд нуусан зар сурталчилгааны халдлагад өртсөнийг ажигласан бөгөөд энэ нь өртсөн нийт хэрэглэгчдийн 70 орчим хувь нь энэ аюулд өртсөн гэсэн үг юм. Үүнээс 2022 оны эхний хагаст 1 сая гаруй хэрэглэгчид зар сурталчилгааны програмтай тулгарсан байна.
Түншлэлийн зар нь хайлтын үр дүнгийн хуудасны хажуу талд гарч ирдэг - бүгд хэрэглэгчийн анхаарлыг татахын тулд
Хоёр дахь хамгийн өргөн тархсан аюул бол хортой програм (хууль ёсны хэрэглэгчийн компьютерт халдварлаж, олон янзаар хор хөнөөл учруулах зорилготой компьютерийн програмын нэг төрөл) байв. Зарим хортой өргөтгөлүүдийн зорилго нь нэвтрэх үнэмлэх болон бусад нууц мэдээллийг хулгайлах явдал юм. Күүки/cookie болон санах ойд хуулсан өгөгдлийг хулгайлахаас гадна тэдгээр нь хэрэглэгчийн бичсэн бүх зүйлийг хянаж, хадгалах чадвартай товчлуур дарагчийн үүрэг гүйцэтгэдэг бөгөөд энэ нь хохирогчдын итгэмжлэл, зээлийн картын мэдээлэл зэрэг нууц мэдээлэлд асар их аюул учруулдаг.
2020 оны 1-р сараас 2022 оны 6-р сар хүртэл бид хөтөчийн өргөтгөлөөр халдлагад өртсөн 2.6 сая гаруй өвөрмөц хэрэглэгчдийг ажигласан. Энэ нь энэ хугацаанд хортой эсвэл хүсээгүй өргөтгөлтэй тулгарсан нийт хэрэглэгчдийн 44 хувь юм.
2022 оны хамгийн түгээмэл аюул заналхийллийн бүлгүүд нь хөтчийн өргөтгөл хэлбэрээр нуугдаж байна
Хортой болон хүсээгүй өргөтгөлүүд хэрхэн ажилладаг талаар илүү нарийвчилсан ойлголт өгөхийн тулд бид аюул заналхийллийн дөрвөн бүлгийг гүнзгийрүүлэн дүн шинжилгээ хийсэн. Тэдгээр нь хууль ёсны вэб дэлгүүрт эсвэл өөр хэлбэрээр тараагдсан эсэх, ямар ашигтай өргөтгөлийн функцийг өнгөлөн далдлах байдлаар ашиглаж болох, 2022 оны эхний хагаст хэр идэвхтэй байсан зэрэгт дүн шинжилгээ хийсэн.
Вэб хайлт
2022 оны эхний хагасын хамгийн түгээмэл аюул бол вирус биш: HEUR:AdWare.Script.WebSearch.gen гэж илэрсэн WebSearch зар сурталчилгааны гэр бүл байв. 2022 оны эхний хагаст 876,924 өвөрмөц хэрэглэгч WebSearch-тэй таарчээ. Энэ аюул нь ихэвчлэн DOC-ээс PDF хөрвүүлэгч, баримт бичгийг нэгтгэх гэх мэт баримт бичигтэй ажиллах хэрэгслүүдийг дуурайдаг. Юуны өмнө, WebSearch өргөтгөлүүд нь хөтчийн эхлэл хуудсыг өөрчилдөг бөгөөд ингэснээр хэрэглэгч танил Chrome хуудасны оронд минималист сайтыг хардаг байна. Хайлтын систем болон AliExpress эсвэл Farfetch зэрэг гуравдагч талын эх сурвалжуудын хэд хэдэн холбоосуудаас бүрддэг. Эдгээр нөөц рүү шилжих нь түншлэлийн холбоосоор дамждаг ба халдагч нар өргөтгөлөөсөө мөнгө олдог. Хэрэглэгчид эдгээр холбоосыг дагаж мөрдөх тусам өргөтгөлийн хөгжүүлэгчид илүү их мөнгө олдог гэсэн үг юм.
WebSearch-д нэвтэрсний дараа хөтчийн шинэ харагдах нүүр хуудас
Мөн өргөтгөл нь хөтчийн өгөгдмөл хайлтын системийг search.myway[.]com болгон өөрчилдөг бөгөөд энэ нь хэрэглэгчийн хүсэлтийг авч, цуглуулж, дүн шинжилгээ хийх боломжтой. Хэрэглэгчийн хайсан зүйлээс хамааран ихэнх холбогдох түнш сайтууд хайлтын үр дүнд идэвхтэй сурталчлах болно.
WebSearch өргөтгөлүүд нь хэрэглэгчийн хайсан бүх зүйлийг хянаж, хайлтын систем дээрх түншлэлийн зараар эдгээр бүтээгдэхүүнийг сурталчлах болно.
WebSearch нь ихэвчлэн энэ функцын ард нуугдаж байдаг тул ажил дээрээ ихэвчлэн PDF үзэгч эсвэл хөрвүүлэгч ашиглах шаардлагатай байдаг оффисын ажилтнууд энэ аюулын хамгийн их хохирогч болдог. Ихэвчлэн өргөтгөл нь хэрэглэгч үүнийг устгахгүйн тулд зарласан ашигтай функцийг гүйцэтгэдэг.
Энэ гэр бүлийн жишээ нь:
Одоогоор энэ өргөтгөлийг Chrome вэб дэлгүүрт ашиглах боломжгүй байгаа ч гуравдагч талын файл хуваалцах эх сурвалжаас татаж аваад гараар суулгах боломжтой.
DealPly-тэй холбоотой өргөтгөлүүд
DealPly-тэй холбоотой өргөтгөлүүд нь зар сурталчилгааны програм бөгөөд эхний хувилбарууд нь 2018 оны сүүлээр гарч ирсэн боловч кибер гэмт хэрэгтнүүдийн дунд түгээмэл хэвээр байна. Эдгээр өргөтгөлүүдийг дараах дүгнэлтээр илрүүлсэн.
- HEUR:AdWare.Script.Generic
- HEUR:AdWare.Script.Extension.gen
2022 оны 1-р сараас 6-р сарын хооронд 97,515 өвөрмөц Kaspersky хэрэглэгчид DealPly-тэй холбоотой нэмэлтүүдтэй тулгарсан.
WebSearch гэр бүлээс ялгаатай нь эдгээр өргөтгөлүүдийг хэрэглэгч суулгаагүй, харин Kaspersky-ийн бүтээгдэхүүнүүд вирус биш гэж илрүүлдэг DealPly зар сурталчилгааны программ суулгадаг: AdWare.Win32.DealPly. Хэрэглэгчид ихэвчлэн найдваргүй эх сурвалжаас хакердсан программ хангамжийн ачаалагчийг татаж авах гэж оролдох үед DealPly-ээр халдварладаг. Өмнөх аюул заналхийллийн гэр бүлийн нэгэн адил DealPly-тэй холбоотой өргөтгөлүүд нь хөтчийн эхлэл хуудсыг өөрчилдөг бөгөөд үүн дээр харьяа холбоосуудыг байрлуулдаг.
Хөтөчийн шинэ эхлэл хуудас нь голчлон харьяа вэбсайтуудын холбоосуудаас бүрддэг
Хэрэглэгчийн хүсэлтийг таслан зогсоохын тулд анхдагч хайлтын системийг өөрчилдөг. Хэрэглэгчдийн энэ хайлтын систем дээр тавьсан бүх асуулгад өргөтгөлөөр дүн шинжилгээ хийдэг ба асуулгад оруулсан түлхүүр үгсэд үндэслэн хэрэглэгчийг тохирох түнш сайт руу чиглүүлж явуулдаг.
Аюул нь "iPhone" гэсэн түлхүүр үгэнд дүн шинжилгээ хийж, үүн дээр үндэслэн түншийн вэбсайт дээр тохирох саналыг санал болгодог
Өргөтгөлүүдийг тогтвортой байлгахын тулд DealPly нь Windows бүртгэлд дараах салбаруудыг үүсгэдэг:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Google\Chrome\Extensions\bifdhahddjbdbjmiekcnmeiffabcfjgh HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions\bifdhahddjbdbjmiekcnmeiffabcfjgh HKEY_CURRENT_USER\Software\Google\Chrome\Extensions\bifdhahddjbdbjmiekcnmeiffabcfjgh
“update_url”=”hxxp[:]//juwakaha[.]com/update“ утгатай. Энэ утга нь хөтчүүдэд өргөтгөлийн шинэчлэлт хийх замыг өгдөг. Хэрэглэгч нэмэлтийг устгасан ч хөтчийг эхлүүлэх бүртээ энэ замыг ашиглан татаж аваад дахин суулгана. Хөтөч нь DealPly-тэй холбоотой өргөтгөлүүдийг шинэчилж байгааг анхаарна уу, гэхдээ тэдгээр нь албан ёсны Chrome вэб дэлгүүрээс биш гуравдагч талын серверээс суулгагдсан байдаг.
Энэхүү аюул заналхийллийн хамгийн их хохирогчид нь хакердсан программ хангамжийг эргэлзээтэй эх сурвалжаас татаж авдаг хүмүүс гэж бид таамаглаж байна. DealPly-ийн дуурайдаг програмуудын нийтлэг жишээ бол KMS идэвхжүүлэгчид (хакердсан Windows-г үнэгүй идэвхжүүлдэг програмууд) эсвэл компьютер тоглоомуудыг хакерддаг cheatengine юм. Нэмж дурдахад DealPly нь төрөл бүрийн програм хангамж, түүний дотор өмчлөлийн програм хангамжийг суулгагчдыг дуурайж чаддаг.
DealPly-тэй холбоотой өргөтгөлүүдийн жишээнүүд:
| bifdhahddjbdbjmiekcnmeiffabcfjgh | Internal Chromium Extension |
| ncjbeingokdeimlmolagjaddccfdlkbd | Internal Chromium Extension |
| nahhmpbckpgdidfnmfkfgiflpjijilce | Search Manager |
| pilplloabdedfmialnfchjomjmpjcoej | Search Manager |
AddScript
AddScript бол хөтчийн өргөтгөлийн дор нуугдаж буй өөр нэг аюул заналхийлэл юм. Энэ гэр бүлийн анхны дээжийг 2019 оны эхээр харсан бөгөөд идэвхтэй хэвээр байна. 2022 оны эхний хагаст бид AddScript-тэй тааралдсан 156,698 өвөрмөц хэрэглэгчийг ажигласан.
Ерөнхийдөө энэ гэр бүлийн өргөтгөл нь ашигтай функцтэй байдаг. Жишээлбэл, тэд нийгмийн сүлжээ эсвэл прокси/proxy менежерүүдээс хөгжим, видео татаж авах хэрэгсэл байж болно. Гэсэн хэдий ч ашигтай функцээс гадна ийм өргөтгөлүүд нь хортой үйл ажиллагаа явуулдаг.
AddScript хортой код
Хортой код нь бүдгэрсэн байна. Өргөтгөл ажиллаж байх үед C&C серверийн хаягийг авахын тулд хатуу кодлогдсон URL-тай холбогддог. Дараа нь C&C сервертэй холбогдож, түүнээс хортой JavaScript-г хүлээн авч, нууцаар ажиллуулдаг. Хэрэглэгч гуравдагч талын зааврын гүйцэтгэлийг анзаарах цорын ганц арга бол процессорын эрчим хүчний хэрэглээг нэмэгдүүлэх явдал юм.
Хортой скрипт нь үе үе шинэчлэгдэж, янз бүрийн функцийг гүйцэтгэдэг. Жишээлбэл, энэ нь хохирогчийн компьютер дээр ямар ч саадгүйгээр видеог ажиллуулж чаддаг тул эзэмшигчид нь "үзсэн" видеог ашиг олох боломжтой. Хортой JavaScript-ийн өөр нэг хувилбар нь күүки бөглөх (мөн "күүки хаях" гэж нэрлэдэг) гүйцэтгэдэг. Уламжлал ёсоор бол өөр өөр брэндүүд өөрсдийн сайт дээр харьяа бүтээгдэхүүнийг сурталчилдаг. Зочин түншлэлийн холбоос дээр дарах үед түншлэлийн күүки тэдний төхөөрөмж дээр хадгалагдана. Хэрэв хэрэглэгч дараа нь түншийн хуудсан дээр худалдан авалт хийвэл түншлэлийн күүки хадгалсан сайтын эзэмшигч нь мөнгө авдаг. AddScript нь хөтөч дээр хийгдсэн гүйлгээний шимтгэлийг нэхэмжлэхийн тулд хэрэглэгч ямар ч сайтын холбоосыг дарахгүйгээр олон түншлэлийн күүкиг устгадаг. Энгийнээр хэлэхэд, луйварчид вэбсайтуудыг бодитоор хийлгүйгээр тэдэнд траффик илгээсэн гэж хуурдаг.
Энэ гэр бүлийн жишээ нь:
| hdbipekpdpggjaipompnomhccfemaljm | friGate3 proxy helper |
| lfedlgnabjompjngkpddclhgcmeklana | SaveFrom.net helper |
| aonedlchkbicmhepimiahfalheedjgbh | Helper (an easy way to find the best prices) |
| oobppndjaabcidladjeehddkgkccfcpn | Y2Mate – Video Downloader |
Касперскийн бүтээгдэхүүнүүд AddScript өргөтгөлүүдийг HEUR:Trojan.Script.Generic дүгнэлтээр илрүүлдэг.
FB хулгайч
Өөр нэг хортой хөтчийн өргөтгөлийн гэр бүл бол FB Stealer юм. Энэ нь хамгийн аюултай гэр бүлүүдийн нэг юм, учир нь аль хэдийн уламжлалт хайлтын системийг орлуулахаас гадна FB Stealer нь Facebook-ээс хэрэглэгчийн итгэмжлэлийг хулгайлах чадвартай. 2022 оны 1-р сараас 6-р сар хүртэл Касперскийн аюулгүй байдлын шийдлүүд FB Stealer-тэй тааралдсан 3077 өвөрмөц хэрэглэгчдийг илрүүлжээ.
FB Stealer-ийг хэрэглэгч биш харин хортой програм суулгадаг. Хөтөч дээр нэмсний дараа энэ нь гэм хоргүй, стандарт харагдах Chrome өргөтгөл Google Translate-г дуурайдаг.
| colgdlijdieibnaccfdcdbpdffofkfeb | Google Translate |
| fdempkefdmgfcogieifmnadjhohaljcb | Google Translate |
Хортой FB Stealer өргөтгөлийг гуравдагч талын эх сурвалжаас нэмсэн. Хөтөч нь энэ өргөтгөлийн талаар мэдээлэлгүй байгааг анхааруулж байна.
FB Stealer дамжуулагч трожяныг NullMixer гэдэг. Энэ нь хагарсан програм хангамж суулгагчийн дүрд хувирч, хэрэглэгчдэд хүрдэг.
NullMixer нь хакердсан програм хангамж суулгагчаар дамжин тархдаг
NullMixer-тэй нууц үгээр хамгаалагдсан архивыг татаж авч байна
Өргөтгөлийн файлууд нь NullMixer-ийн гүйцэтгэх файлын нөөцийн хэсэгт хадгалагдах бөгөөд суулгах явцад %AppData%\Local\Google\Chrome\User Data\Default\Extensions хавтас руу хуулна. Суулгагч нь өргөтгөлийн талаарх мэдээллийг багтаасан Chrome тохиргоог агуулсан Secure Preferences файлыг мөн өөрчилдөг. Үүнийг хийсний дараа өргөтгөл идэвхтэй болно.
Өмнөх гэр бүлүүдтэй адил өргөтгөл нь үндсэн хайлтын системийг өөрчилдөг. Энэ тохиолдолд үүнийг hxxps[:]//www.ctcodeinfo[.]com болгож тохируулна. Нэмж дурдахад халдагчид Facebook сессийн/session күүки/cookie буюу хэрэглэгчдэд нэвтэрсэн хэвээр байх боломжийг олгодог таних мэдээллийг агуулсан хөтөч дээр хадгалагдсан нууцуудыг задалж, өөрсдийн сервер рүү илгээдэг. Эдгээр күүки ашиглан хохирогчийн фэйсбүүк хаяг руу хурдан нэвтэрч, нэвтрэх мэдээллийг өөрчлөх замаар хулгайлах боломжтой. Бүртгэлд нэвтэрсний дараа халдагчид хохирогчийн найзуудаас мөнгө гуйж, хэрэглэгч дахин данс руу нэвтрэхээс өмнө аль болох их мөнгө авахыг хичээдэг.
Халдагчид хортой кодыг нуухын тулд скриптийг бүдгэрүүлэх аргыг ашигласан байна
Дүгнэлт, зөвлөмж
Хөтөчийн өргөтгөлүүд нь цахим гэмт хэрэгтнүүдийн хэрэглэгчдийг түншлэлийн хуудас руу шилжүүлэх, күүки бөглөх, хохирогчийн итгэмжлэлийг хулгайлах зэргээр мөнгө олох хамгийн түгээмэл аргуудын нэг хэвээр байна. Тиймээс олон хэрэглэгчид гайхаж магадгүй: хэрэв тэд маш олон аюул заналхийлж байгаа бол хөтчийн өргөтгөлүүдийг татаж авах нь үнэ цэнэтэй юу? Өргөтгөлүүд нь зөвхөн хэрэглэгчийн онлайн туршлагыг сайжруулдаг бөгөөд зарим нэмэлтүүд нь төхөөрөмжийг илүү аюулгүй болгож чадна гэдэгт бид итгэдэг. Хөгжүүлэгч нь хэр нэр хүндтэй, найдвартай вэ, мөн өргөтгөл нь ямар зөвшөөрөл хүсч байгааг анхаарч үзэх нь чухал юм. Хэрэв та хөтөчийн өргөтгөлүүдийг аюулгүй ашиглах зөвлөмжийг дагаж мөрдвөл дээр дурдсан аюул заналхийлэлд өртөх эрсдэл хамгийн бага байх болно.
Хөтөчийн нэмэлтүүдийг ашиглахдаа аюулгүй байхын тулд:
- Програм татаж авахын тулд зөвхөн итгэмжлэгдсэн эх сурвалжийг ашиглана уу. Хортой программ хангамж болон хүсээгүй программууд нь ихэвчлэн гуравдагч талын эх сурвалжуудаар түгээгддэг бөгөөд албан ёсны вэб дэлгүүрүүд шиг хэн ч тэдний аюулгүй байдлыг шалгадаггүй. Эдгээр програмууд нь хэрэглэгчдэд мэдэгдэхгүйгээр хортой эсвэл хүсээгүй хөтчийн өргөтгөлүүдийг суулгаж, бусад хортой эсвэл хүсээгүй үйлдлийг хийж болно.
- Өргөтгөлүүд нь хөтчүүдэд нэмэлт функцийг нэмдэг тул янз бүрийн нөөц, зөвшөөрөлд хандах шаардлагатай байдаг - та нэмэлт хүсэлтийг зөвшөөрөхөөс өмнө сайтар шалгаж үзэх хэрэгтэй.
- Нэг удаад ашигласан өргөтгөлүүдийн тоог хязгаарлаж, суулгасан өргөтгөлүүдээ үе үе хянаж байгаарай. Таны ашиглахаа больсон эсвэл танихгүй өргөтгөлүүдийг устгана уу.
- Бат бөх аюулгүй байдлын шийдлийг ашигла. Жишээлбэл, Касперскийн Интернет аюулгүй байдлын хувийн хайлт нь онлайн хяналтаас сэргийлж, таныг вэб аюулаас хамгаалдаг.
source: https://securelist.com
