В Ubuntu Snap Store и Chrome Web Store выявлены вредоносные пакеты

13 мая 2018 года

Пользователи Ubuntu обратили внимание на наличие в snap-пакете 2048buntu, распространяемом через Ubuntu Snap Store, встроенного кода для майнинга криптовалюты. Дальнейшее разбирательство показало, что аналогичный вредоносный код присутствует и в других пакетах автора Nicolas Tomb, в частности проблема присутствует в пакете hextris.

После поступления сообщения о проблеме вредоносные пакеты были удалены из репозитория. Инициировано проведение расследования инцидента, результаты которого и сделанные выводы пока не опубликованы. Ожидается, что случай с вредоносными пакетами заставит Canonical пересмотреть политику включения и рецензирования программ в Ubuntu Snap Store. Сейчас разместить пакет в каталоге может любой желающий.

Код майнинга был камуфлирован под процесс systemd и поставлялся как /snap/$name/current/systemd. На системах с более чем 4 ядрами CPU процесс майнинга запускался в 2 потока, на остальных системах в однопоточном режиме. Интересно, что пакет 2048buntu поставлялся(недоступная ссылка) как проприетарное ПО, в то время как распространяемая в нём игра 2048 распространяется под лицензией MIT (мошенник, создавший вредоносный пакет, не связан с разработчиками игры).

Тем временем в каталоге Chrome Web Store выявлено семь вредоносных дополнений к браузеру Chrome, общая пользовательская база которых превышает 100 тысяч установок. Для защиты от удаления с систем пользователя вредоносные дополнения автоматически закрывали вкладку со списком дополнений сразу после попытки её открытия и заносили в локальный чёрный список связанные с безопасностью утилиты и инструменты Facebook и Google для выявления вредоносной активности. Для распространения дополнений среди пользователей применялись методы социальной инженерии - в Facebook распространялась ссылка на фиктивный ролик в YouTube, при клике на который запрашивалась установка дополнения.

После установки вредоносных дополнений системы пользователей подключались к ботнету. Интегрированный в дополнения вредоносный код позволял перехватывает параметры учётных записей в Facebook и Instagram, собирал конфиденциальные данные из Facebook, выполнял майнинг криптовалют, совершал подмену ссылок при кликах в YouTube и рассылал друзьям в Facebook ссылки на фиктивные ролики, требующие установки вредоносных дополнений (создавалась цепочка для привлечения новых жертв). В ходе работы встроенного майнера злоумышленникам за неделю удалось заработать около $1000 (преимущественно применялась криптовалюта monero).

Проблемы присутствуют в дополнениях Alt-j, Nigelify, PwnerLike, Fix-case, Divinity 2 Original Sin: Wiki Skill Popup, Keeprivate и iHabno. Спустя несколько часов после их выявления компания Google удалила проблемные дополнения из каталога Chrome Web Store и инициировала процесс удаления с систем пользователей.