Chromium Malware (posible) en mi máquina Linux

Navega tus respuestas
6

Ejecutando Chromium 60.0.3112.11 en Linux Ubuntu 16.04

  1. Chromium intenta acceder a los medios de mi máquina Linux al autocompletar bankofamerica.com, wellsfargo.com, americanexpress.com o discover.com.

  2. Chromium también intenta acceder a los medios de mi máquina Linux en las búsquedas en Google para las siguientes cadenas relacionadas con el banco: 'banco'; 'americano'; 'Banco de America'; 'wells fargo'; 'American Express'; 'descubrir'; 'tarjeta American Express'; 'tarjeta de descubrimiento'; 'Descubrir servicios de tarjeta'; pero no para: 'Servicio al cliente de Bank of America'; 'tasas de interés del banco de América'; 'Servicio al cliente de Wells Fargo'; 'tasas de interés de Wells Fargo'; 'American Express Card Services'; 'descubrir el pago de la factura de la tarjeta' 'bancos'; 'America'; y todas las demás cadenas relacionadas con actividades bancarias y no bancarias que he comprobado.

  3. Chromium accede al administrador de capturas de pantalla de la entrada de navegación al volver a enviar cualquier URL. Esto podría ser un remanente de haber usado Selenium en el pasado para controlar el navegador de cromo, pero pensé que esto debería mencionarse dada la naturaleza de los dos errores anteriores.

La documentación es la siguiente: 

    me@linuxmachine:~$ chromium-browser &
    [1] 2496

4a. El error: 

    [1:13:0901/211311.279992:ERROR:adm_helpers.cc(62)] Failed to query stereo recording.

se solicita mediante autocompletar en la barra de direcciones: bankofamerica.com, americanexpress.com o busca en Google: 'bank of america', 'american express', 'american express card'

4b. El error: 

    [2496:2496:0901/211421.675100:ERROR:web_contents_delegate.cc(199)] WebContentsDelegate::CheckMediaAccessPermission: Not supported.
    [2496:2496:0901/211421.675126:ERROR:web_contents_delegate.cc(199)] WebContentsDelegate::CheckMediaAccessPermission: Not supported.

se solicita mediante autocompletar en la barra de direcciones: wellsfargo.com o busca en Google: 'wells fargo', 'american'

4c. El error: 

    [2496:2496:0901/211631.723037:ERROR:web_contents_delegate.cc(199)] WebContentsDelegate::CheckMediaAccessPermission: Not supported.
    [2496:2496:0901/211631.723065:ERROR:web_contents_delegate.cc(199)] WebContentsDelegate::CheckMediaAccessPermission: Not supported.
    [1:13:0901/211633.046282:ERROR:adm_helpers.cc(62)] Failed to query stereo recording.

se solicita mediante autocompletar en la barra de direcciones: discover.com o busca en Google: 'descubrir', 'descubrir tarjeta', 'descubrir servicios de tarjeta'

4d. El error: 

[2496:2496:0901/212845.137648:ERROR:navigation_entry_screenshot_manager.cc(134)] Invalid entry with unique id: 55

se solicita cuando se vuelve a enviar al navegador de cualquier URL a la que Chromium ya haya navegado.

5 .. Preguntas:

¿Puede algún miembro del foro comentar sobre estos errores de Chromium y la posibilidad de que sean producidos por un malware que se dirige a mis datos financieros?     Específicamente:

  1. ¿Son respuestas pronosticadas a malware conocido y, de ser así, cuál es el nombre y origen del malware, los archivos que se sabe que sirven como hosts y el método adecuado de remediación de un sistema infectado?
  2. ¿Cuánto debo preocuparme por la seguridad de mi brower o sistema y la seguridad de mis datos financieros dada la naturaleza de estos errores?
  3. ¿Cómo debo contener y abordar adecuadamente las amenazas a mi navegador o sistema y restaurar Chromium para que funcione correctamente?
pregunta anon 05.09.2017 - 05:22
fuente

2 respuestas

1

Debido a que Chromium es de código abierto, puede verificar que estos mensajes de registro sean bastante normales. La asociación de su tiempo con las cadenas relacionadas con las finanzas no lo son.

El registro CheckAccessPermission viene de aquí: chromium / src / content / public / browser / web_contents_delegate.cc . Si seguimos la cadena de llamadas, encontramos MediaDevicesManager in media_devices_permission_checker.cc , donde podemos ver que estas funciones se activan cuando el contenido de web o extensión intenta acceder a su micrófono o cámara.

Debido a que parece que esto posiblemente podría ser el error de una extensión mal implementada, y también porque las extensiones de Chrome son las causantes más probables de comportamiento sospechoso por parte del navegador, recomiendo realizar una auditoría de su lista de extensiones en chrome: // extensiones. Intente desactivar las extensiones una por una hasta que desaparezca el comportamiento. Verifique que esto no ocurra en una ventana de incógnito / privada, a la cual las extensiones no están permitidas de manera predeterminada. (Si alguna extensión está marcada como "permitir en ventanas de incógnito", desmarque esa casilla antes de realizar la prueba).

    
respondido por el Riking 07.10.2018 - 04:37
fuente
0

Ninguno de los mensajes de error que ha publicado son indicativos de malware en su navegador. Conectarse a un nuevo origen a menudo desencadenará la creación de un nuevo proceso de renderizado desde el cigoto, y el nuevo renderizador interactuará con el proceso del host. Durante esa interacción, puede conectarse a las fuentes de medios (o no hacerlo, como en su caso).

Si le preocupa el malware y desea que lo tranquilicen, ejecutaría un análisis con ClamAV (ya que menciona que está en Linux), o monitorearía el tráfico saliente utilizando Wireshark para ver si hay algún tráfico hacia hosts sospechosos. .

    
respondido por el David 09.01.2018 - 18:12
fuente

Lea otras preguntas en las etiquetas

AWS Security - Dev Test Staging Production Environments MITM por conexión inalámbrica