Quindi … Stamattina stavo navigando nel sito web di Ikea e ho provato a utilizzare uno dei loro strumenti di visualizzazione. Ho ricevuto un messaggio di errore che mi diceva non eseguiva lultima versione di Adobe Flash. Riluttante allinizio perché ho pensato al loro problema di sicurezza qualche tempo fa, continuavo a pensare “meh, devono averlo risolto ormai”. Sono andato al negozio di Chrome, ho cercato unestensione per flash player e come un fottuto idiota, ho preso il primo che ho visto senza dare unocchiata alleditore e al numero limitato di recensioni per tale estensione. Non appena è stato installato, ha aperto una pagina per un negozio di musica fuori da nessuna parte. Questo è stato quando ho capito di aver fatto un casino …
Ho immediatamente rimosso lestensione. Ho disinstallato Brave questa sera quando sono tornato a casa, ho cancellato tutte le cartelle Brave rimanenti sul mio SSD ed ho eseguito una scansione completa del sistema con Avast e una scansione delle minacce con Malwarebytes (entrambe le versioni gratuite). Non è uscito niente. Ho anche verificato la presenza di strani processi in esecuzione (tramite il task manager) e non ho trovato niente di speciale. Dovrei essere preoccupato e cè qualcosaltro che dovrei fare?
Lestensione in questione era Flash Player, offerta da flash player … Sì, lo so, avrei dovuto vederlo …
Grazie, Oberom
Commenti
- Se avessi mantenuto i file di estensione effettivi che hai installato, potrebbe essere esaminato per vedere se ha aperto solo pagine di annunci o se ha fatto cose più nefaste. In ogni caso, non avrebbe dovuto essere in grado di infettare il tuo computer.
- Grazie Angel per la tua risposta. Nemmeno con un keylogger?
- Le estensioni sono piuttosto limitate in quello che possono fare. Senza alcuna vulnerabilità, non dovrebbero essere in grado di influenzare nulla al di fuori del browser.
Risposta
Presumo che lestensione che hai installato fosse https://chrome.google.com/webstore/detail/flash-player/ooonkoejkmhiacbhhkdgfeemioceapbh
Si chiama “Flash Player” e afferma che “s” Offerto b y: flash player “. Ho controllato la versione 1.1.3. Allinstallazione si apre https://themusic[.]io/
Le autorizzazioni richieste sono:
- Leggi e modifica tutti i tuoi dati sui siti web che visiti
- Gestisci i tuoi download
La pagina della musica si apre perché allinstallazione si apre https://flplayer[.]net/welcome , che reindirizza lì. Durante la disinstallazione si apre https://flplayer[.]net/uninstall che dice semplicemente “Scusa se non soddisfiamo le tue esigenze. Ci vediamo la prossima volta! “
Unaltra pagina interessante è http://flplayer[.]net/config.php , da cui recupera una serie di opzioni di configurazione . Questo include un valore denominato analyticsId (“UA-117750115-1”), che sembra un identificatore per Google Analytics (sembra non utilizzato), e un mixpanelId (58410f8ab299e0eb2b736f6e233eda37) che viene utilizzato se è stato impostato extendedAnalytics.
Unaltra caratteristica strana che ha è che durante il rendering della casella di incorporamento, se il protocollo è https fornisce gli URL attraverso la pagina https://greatapptst[.]com/redirect.php?url=<url> (che esegue il proxy di qualsiasi cosa)
Poiché il il browser stesso media ciò che lestensione può fare, non credo che sarebbe potuto sfuggire per installare un programma di sistema (no, nemmeno un keylogger). Al massimo, avrebbe potuto pubblicare alcune informazioni sul tuo browser e sulle tue pagine. Specialmente sul pagine visitate dopo linstallazione idiota. Ma a quanto pare lhai disinstallato immediatamente, quindi anche in quel caso non avrebbe potuto raccogliere molto. Se lo avessi fatto, io
Commenti
- Grazie per il tuo tempo, Angelo. Immagino di ' chiaro. Dovrei stare più attento in futuro.