Компания Awake Security о выявлении к Google Chrome, отправляющих на внешние серверы конфиденциальные данные пользователя. В том числе дополнения имели доступ к созданию скриншотов, чтению содержимого буфера обмена, анализу наличия токенов доступа в Cookie и перехвату ввода в web-формах. В сумме выявленные вредоносные дополнения насчитывали 32.9 млн загрузок в Chrome Web Store, а самое популярное (Sеarch Manager), a было загружено 10 млн раз и включает 22 тысячи отзывов.
Предполагается, что все рассмотренные дополнения подготовлены одной командой злоумышленников, так как во всех типовая схема распространения и организации захвата конфиденциальных данных, а также встречаются общие элементы дизайна и повторяющийся код. с вредоносным кодом были размещены в каталоге Chrome Store и уже удалены после отправки уведомления о вредоносной активности. Многие вредоносные дополнения копировали функциональность различных популярных дополнений, в том числе нацеленных на обеспечение дополнительной защиты браузера, повышение конфиденциальности при поиске, преобразования PDF и конвертации форматов.
Разработчики дополнений вначале размещали в Chrome Store чистую версию без вредоносного кода, проходили рецензирование, а потом в одном из обновлений добавляли изменения, которые подгружали вредоносный код после установки. Для скрытия следов вредоносной активности также применялась техника выборочных ответов — при первом запросе выдавалась вредоносная загрузка, а при последующих не вызывающие подозрения данные.
В качестве основных путей распространения вредоносных дополнений выделяется продвижение профессионально выглядящих сайтов (как на картинке ниже) и размещение в Chrome Web Store, обходя механизмы проверки для последующей загрузки кода с внешних сайтов. Для обхода ограничений по установке дополнений только из Chrome Web Store атакующими распространялись отдельные сборки Chromium с предустановленными дополнениями, а также производилась установка через уже присутствующие в системе рекламные приложения (Adware). Исследователи проанализировали 100 сетей финансовых, медийных, медицинских, фармацевтических, нефтегазовых и торговых компаний, а также образовательных и госучреждений, и почти во всех из них выявили следы наличия рассматриваемых вредоносных дополнений.
В ходе кампании по распространению вредоносных дополнений было зарегистрировано более , пересекающихся с популярными сайтами (например, gmaille.com, youtubeunblocked.net и т.п.) или зарегистрированными после окончания срока продления ранее существующих доменов. Данные домены также использовались в инфраструктуре управления вредоносной активностью и для загрузки вредоносных JavaScript-вставок, выполняемых в контексте открываемых пользователем страниц.
Исследователи заподозрили сговор с регистратором доменов Galcomm, в котором были зарегистрированы 15 тысяч доменов для вредоносных действий (60% от всех выданных данным регистратором доменов), но представители Galcomm эти предположения и указали, что 25% из перечисленных доменов уже удалены или выданы не Galcomm, а остальные почти все являются неактивными припаркованными доменами. Представители Galcomm также сообщили, что до публичного раскрытия отчёта к ним никто не обращался, и они получили список доменов, применяемых для вредоносных целей, от третьего лица и теперь проводят по ним свой разбор.
Выявившие проблему исследователи сравнивают вредоносные дополнения с новым руткитом — основная деятельность многих пользователей ведётся через браузер, через который осуществляется доступ к совместным хранилищам документов, корпоративным информационным системам и финансовым сервисам. Злоумышленникам в таких условиях нет смысла искать пути полной компрометации операционной системы для установки полноценного руткита, — гораздо проще добиться установки вредоносного браузерного дополнения и контролировать через него потоки конфиденциальных данных. Кроме контроля за транзитными данными дополнение может запросить полномочия для доступа к локальным данным, web-камере, местоположению. Как показывает практика, большинство пользователей не обращают внимание на запрашиваемые полномочия, а 80% из 1000 популярных дополнений запрашивают доступ к данным всех обрабатываемых страниц.
Источник: opennet.ru