Wakker Sekuriteitsmaatskappy oor identifisering na Google Chrome, wat vertroulike gebruikerdata na eksterne bedieners stuur. Die byvoegings het ook toegang gehad om skermkiekies te neem, die inhoud van die knipbord te lees, die teenwoordigheid van toegangstekens in koekies te ontleed en insette in webvorms te onderskep. In totaal het die geïdentifiseerde kwaadwillige byvoegings altesaam 32.9 miljoen aflaaie in die Chrome Webwinkel beloop, en die gewildste (Search Manager) is 10 miljoen keer afgelaai en sluit 22 duisend resensies in.
Daar word aanvaar dat al die oorweegde toevoegings deur een span aanvallers voorberei is, aangesien altesaam 'n tipiese skema vir die verspreiding en organisering van die vaslegging van vertroulike data, sowel as algemene ontwerpelemente en herhaalde kode. met kwaadwillige kode is in die Chrome Winkel-katalogus geplaas en is reeds uitgevee nadat 'n kennisgewing oor kwaadwillige aktiwiteit gestuur is. Baie kwaadwillige byvoegings het die funksionaliteit van verskeie gewilde byvoegings gekopieer, insluitend dié wat daarop gemik is om bykomende blaaiersekuriteit te verskaf, soekprivaatheid te verhoog, PDF-omskakeling en formaatomskakeling.
Byvoegingsontwikkelaars het eers 'n skoon weergawe sonder kwaadwillige kode in die Chrome Winkel geplaas, portuurbeoordeling ondergaan en toe veranderinge bygevoeg in een van die opdaterings wat kwaadwillige kode gelaai het na installasie. Om spore van kwaadwillige aktiwiteite weg te steek, is 'n selektiewe reaksietegniek ook gebruik - die eerste versoek het 'n kwaadwillige aflaai teruggestuur, en daaropvolgende versoeke het onverdagte data teruggestuur.
Die hoofmaniere waarop kwaadwillige byvoegings versprei is deur die bevordering van werwe wat professioneel lyk (soos in die prentjie hieronder) en plasing in die Chrome Webwinkel, wat verifikasiemeganismes omseil vir die daaropvolgende aflaai van kode vanaf eksterne werwe. Om die beperkings op die installering van byvoegings slegs vanaf die Chrome Webwinkel te omseil, het die aanvallers afsonderlike samestellings van Chromium met vooraf geïnstalleerde byvoegings versprei, en dit ook geïnstalleer deur advertensietoepassings (advertensieware) wat reeds in die stelsel teenwoordig is. Navorsers het 100 netwerke van finansiële, media-, mediese, farmaseutiese, olie- en gas- en handelsmaatskappye, sowel as opvoedkundige en regeringsinstellings ontleed en spore van die teenwoordigheid van die kwaadwillige byvoegings in byna almal gevind.
Tydens die veldtog om kwaadwillige byvoegings te versprei, meer as , wat met gewilde werwe kruis (byvoorbeeld gmaille.com, youtubeunblocked.net, ens.) of geregistreer is na die verstryking van die hernuwingstydperk vir voorheen bestaande domeine. Hierdie domeine is ook gebruik in die bestuursinfrastruktuur vir kwaadwillige aktiwiteit en om kwaadwillige JavaScript-insetsels af te laai wat uitgevoer is in die konteks van die bladsye wat die gebruiker oopgemaak het.
Navorsers het 'n sameswering met die Galcomm-domeinregistrateur vermoed, waarin 15 duisend domeine vir kwaadwillige aktiwiteite geregistreer is (60% van alle domeine wat deur hierdie registrateur uitgereik is), maar Galcomm-verteenwoordigers Hierdie aannames het aangedui dat 25% van die gelyste domeine reeds uitgevee is of nie deur Galcomm uitgereik is nie, en die res, byna almal is onaktiewe geparkeerde domeine. Verteenwoordigers van Galcomm het ook berig dat niemand hulle gekontak het voor die openbare bekendmaking van die verslag nie, en hulle het 'n lys van domeine ontvang wat vir kwaadwillige doeleindes gebruik word van 'n derde party en doen nou hul ontleding daaroor.
Die navorsers wat die probleem geïdentifiseer het, vergelyk die kwaadwillige byvoegings met 'n nuwe rootkit - die hoofaktiwiteit van baie gebruikers word deur 'n blaaier uitgevoer, waardeur hulle toegang tot gedeelde dokumentberging, korporatiewe inligtingstelsels en finansiële dienste verkry. In sulke omstandighede maak dit geen sin vir aanvallers om maniere te soek om die bedryfstelsel heeltemal in gevaar te stel om 'n volwaardige rootkit te installeer nie - dit is baie makliker om 'n kwaadwillige blaaierbyvoeging te installeer en die vloei van vertroulike data te beheer deur Dit. Benewens die monitering van vervoerdata, kan die byvoeging toestemmings versoek om toegang tot plaaslike data, 'n webkamera of ligging te verkry. Soos die praktyk toon, let die meeste gebruikers nie op die gevraagde toestemmings nie, en 80% van die 1000 gewilde byvoegings versoek toegang tot die data van alle verwerkte bladsye.
Bron: opennet.ru