شركة اليقظة للأمن حول تحديد إلى Google Chrome، وإرسال بيانات المستخدم السرية إلى خوادم خارجية. تتمتع الوظائف الإضافية أيضًا بإمكانية التقاط لقطات الشاشة، وقراءة محتويات الحافظة، وتحليل وجود رموز الوصول في ملفات تعريف الارتباط، واعتراض المدخلات في نماذج الويب. وفي المجمل، بلغ إجمالي عدد التنزيلات للوظائف الإضافية الضارة التي تم تحديدها 32.9 مليون مرة في متجر Chrome الإلكتروني، وتم تنزيل الأكثر شهرة (Search Manager) 10 ملايين مرة ويتضمن 22 ألف مراجعة.
ومن المفترض أن جميع الإضافات المدروسة تم إعدادها من قبل فريق واحد من المهاجمين، منذ ذلك الحين مخطط نموذجي لتوزيع وتنظيم التقاط البيانات السرية، بالإضافة إلى عناصر التصميم المشتركة والتعليمات البرمجية المتكررة. التي تحتوي على تعليمات برمجية ضارة، تم وضعها في كتالوج متجر Chrome وتم حذفها بالفعل بعد إرسال إشعار حول النشاط الضار. قامت العديد من الوظائف الإضافية الضارة بنسخ وظائف العديد من الوظائف الإضافية الشائعة، بما في ذلك تلك التي تهدف إلى توفير أمان إضافي للمتصفح، وزيادة خصوصية البحث، وتحويل PDF، وتحويل التنسيق.
قام مطورو الوظائف الإضافية أولاً بنشر إصدار نظيف بدون تعليمات برمجية ضارة في متجر Chrome، وخضعوا لمراجعة النظراء، ثم أضافوا تغييرات في أحد التحديثات التي أدت إلى تحميل تعليمات برمجية ضارة بعد التثبيت. لإخفاء آثار النشاط الضار، تم أيضًا استخدام تقنية الاستجابة الانتقائية - حيث أعاد الطلب الأول تنزيلًا ضارًا، وأعادت الطلبات اللاحقة بيانات غير مشبوهة.
الطرق الرئيسية التي تنتشر بها الوظائف الإضافية الضارة هي من خلال الترويج للمواقع ذات المظهر الاحترافي (كما في الصورة أدناه) ووضعها في سوق Chrome الإلكتروني، وتجاوز آليات التحقق للتنزيل اللاحق للتعليمات البرمجية من مواقع خارجية. لتجاوز القيود المفروضة على تثبيت الوظائف الإضافية فقط من متجر Chrome Web Store، قام المهاجمون بتوزيع مجموعات منفصلة من Chromium مع الوظائف الإضافية المثبتة مسبقًا، وقاموا أيضًا بتثبيتها من خلال تطبيقات الإعلانات (Adware) الموجودة بالفعل في النظام. وقام الباحثون بتحليل 100 شبكة من الشركات المالية والإعلامية والطبية والصيدلانية والنفط والغاز والشركات التجارية، بالإضافة إلى المؤسسات التعليمية والحكومية، ووجدوا آثارًا لوجود الإضافات الضارة في جميعها تقريبًا.
خلال الحملة لتوزيع الوظائف الإضافية الضارة، أكثر من ، المتقاطعة مع المواقع الشهيرة (على سبيل المثال، gmaille.com، youtubeunblocked.net، وما إلى ذلك) أو المسجلة بعد انتهاء فترة التجديد للنطاقات الموجودة مسبقًا. تم استخدام هذه النطاقات أيضًا في البنية التحتية لإدارة الأنشطة الضارة ولتنزيل إدراجات JavaScript الضارة التي تم تنفيذها في سياق الصفحات التي فتحها المستخدم.
اشتبه الباحثون في وجود مؤامرة مع مسجل نطاقات Galcomm، حيث تم تسجيل 15 ألف نطاق للأنشطة الضارة (60% من جميع النطاقات الصادرة عن هذا المسجل)، لكن ممثلي Galcomm أشارت هذه الافتراضات إلى أن 25% من النطاقات المدرجة قد تم حذفها بالفعل أو لم يتم إصدارها من قبل شركة Galcomm، والباقي، كلها تقريبًا نطاقات متوقفة غير نشطة. كما أفاد ممثلو شركة Galcomm أنه لم يتواصل معهم أحد قبل الكشف العلني عن التقرير، وقد تلقوا قائمة بالنطاقات المستخدمة لأغراض ضارة من طرف ثالث ويقومون الآن بإجراء تحليلهم عليها.
قام الباحثون الذين حددوا المشكلة بمقارنة الوظائف الإضافية الضارة مع برنامج rootkit الجديد - ويتم تنفيذ النشاط الرئيسي للعديد من المستخدمين من خلال متصفح، يمكنهم من خلاله الوصول إلى تخزين المستندات المشترك وأنظمة معلومات الشركة والخدمات المالية. في مثل هذه الظروف، ليس من المنطقي أن يبحث المهاجمون عن طرق لتسوية نظام التشغيل بالكامل من أجل تثبيت برنامج rootkit كامل - فمن الأسهل بكثير تثبيت وظيفة إضافية ضارة للمتصفح والتحكم في تدفق البيانات السرية من خلاله هو - هي. بالإضافة إلى مراقبة بيانات النقل، يمكن للوظيفة الإضافية أن تطلب أذونات للوصول إلى البيانات المحلية أو كاميرا الويب أو الموقع. كما تظهر الممارسة، فإن معظم المستخدمين لا ينتبهون إلى الأذونات المطلوبة، وتطلب 80٪ من الإضافات الشائعة البالغ عددها 1000 إضافة الوصول إلى بيانات جميع الصفحات التي تمت معالجتها.
المصدر: opennet.ru